Datatilsynet varslet i forrige uke ni helseforetak om bøter på kr 800.000 per foretak (dvs. bøter på totalt kr 7,2 millioner), bl.a. Helse Sør-Øst (Datatilsynet har fjernet siden med informasjon av denne saken i ettertid av en eller annen grunn). Bøtene ble gitt på grunnlag av at helseforetakene bl.a. ikke hadde foretatt tilstrekkelig risikovurderinger før beslutning om it-tjenestene for foretakene skulle outsources, at ledelsen i foretakene ikke var tilstrekkelig involvert i beslutninger som ble fattet og at personopplysningene ikke var tilstrekkelig sikret.
Fortsett å lese Om risikovurdering er påkrevd før anskaffelser av it-tjenester med Helse Sør-Øst-saken som eksempelMåned: oktober 2017
Plikt til å slette personopplysninger også på sikkerhetskopier?
Det er en streng plikt til å slette personopplysninger etter de nye personvernreglene (GDPR), bl.a. dersom den registrerte krever sletting eller dersom formålet med behandling av personopplysninger ikke lenger foreligger. Men er det tatt sikkerhetskopi av personopplysningene, kan det være en vanskelig, om ikke uoverkommelig, oppgave å slette de konkrete personopplysninger på sikkerhetskopier (backup). Gjelder det en plikt til å slette personopplysninger også på sikkerhetskopier?
Fortsett å lese Plikt til å slette personopplysninger også på sikkerhetskopier?
Veiledning for når det skal ilegges bøter og størrelsen på bøtene ved brudd på personvernforordningen (GDPR)
Artikkel 29-gruppen, som er EUs rådgivende arbeidsgruppe bestående av representanter for EU-landenes nasjonale datatilsyn, har kommet med en ny veiledning for bøter ved brudd på personvernforordningen. Selv om dette er en veiledning direkte for datatilsynene, får veiledningen betydning for behandlingsansvarlige og databehandlere som kan risikere å bryte forordningen.
Fortsett å lese Veiledning for når det skal ilegges bøter og størrelsen på bøtene ved brudd på personvernforordningen (GDPR)Veiledning for vurdering av personvernkonsekvenser (DPIA) fra Artikkel 29-gruppen
Tidligere denne måneden kom Artikkel 29-gruppen med en veiledning for vurderinger av personvernkonsekvenser eller såkalte DPIA (Data Protection Impact Assessments), dvs. risikovurderinger for databehandling. Veiledningen er nyttig, siden den gir ytterligere veiledning for når det skal gjennomføres DPIA.
Fortsett å lese Veiledning for vurdering av personvernkonsekvenser (DPIA) fra Artikkel 29-gruppen
Hvordan gjennomføre et GDPR-prosjekt?
Siden den nye personvernforordningen (GDPR) og den nye personopplysningsloven vil få betydning for alle virksomheter, vil alle virksomheter måtte gjennomføre et prosjekt for å få virksomheten i overensstemmelse med de nye reglene. Et slikt prosjekt er et felles prosjekt som spesielt HR, IT og de ansvarlige for forretningsdriften må ta stor del i, men ofte er det én person som blir ansvarlig, som internadvokaten (for det handler jo om juss…), IT-avdelingen (dette er vel noe med data…), HR eller andre. Her er en enkel oversikt over hva den som blir ansvarlig kan gjøre for å gjennomføre et GDPR-prosjekt.
Fortsett å lese Hvordan gjennomføre et GDPR-prosjekt?
Er din virksomhet forpliktet til å ha personvernrådgiver (personvernombud) og hva innebærer det?
EUs personvernforordning (GDPR) blir norsk rett gjennom ny personvernlov senest 25. mai 2018. Det er et omfattende regelsett som følger med de nye reglene (se her for oversikt), og for virksomheter som bl.a. behandler spesielt mye personopplysninger, er det en plikt til å ha kompetanse på personvernreglene internt ved å ha en personvernrådgiver (personvernombud). Gjelder dette din virksomhet?
Fortsett å lese Er din virksomhet forpliktet til å ha personvernrådgiver (personvernombud) og hva innebærer det?
Overføring av personopplysninger til USA lovlig etter EUs standardbestemmelser?
I går – 3. oktober – avgjorde Irlands høyesterett at det skal fremmes sak for EU-domstolen om vurdering av lovligheten for overføring av personopplysninger fra EU til USA på grunnlag av EUs standardbestemmelser.
Fortsett å lese Overføring av personopplysninger til USA lovlig etter EUs standardbestemmelser?
Bruk kontrakten til å nå målene med it-anskaffelsen
It-systemer og løsninger er av stor betydning for virksomheten og forretningsdriften til mange selskaper. Derfor er det avgjørende at en når målene man har med it-anskaffelser. Et ofte undervurdert verktøy for å nå målene med it-anskaffelsen, er kontrakten mellom kunden og leverandøren. Kontrakten puttes ofte i skuffen etter inngåelse, og det også med rette siden det inngås mange kontrakter som ikke gir mye hjelp i leveransen. Men kontrakten kan også være et godt virkemiddel for å få gjennomført målene med en it-anskaffelse dersom kontrakten er laget med den hensikt å hjelpe til å nå målene.
Fortsett å lese Bruk kontrakten til å nå målene med it-anskaffelsen