Behandlingsoversikt (protokoll etter GDPR artikkel 30)

Etter personvernforordningen (GDPR) artikkel 30 skal det lages en protokoll over hvilken behandling av personopplysninger som skjer i en virksomhet. Selv om kravet om å lage protokoll i utgangspunktet gjelder virksomheter med mer enn 250 ansatte, er det omfattende unntak som gjør at kravet om å føre protokoll omfatte stort sett alle virksomheter (som også er anbefalt bl.a. av Datatilsynet). En annen ting er at det er anbefalt å lage en oversikt over behandlingen gjennom en slik protokoll for å få kontroll på behandlingen. De fleste virksomheter bør derfor lage en slik protokoll.

Les merBehandlingsoversikt (protokoll etter GDPR artikkel 30)

Om risikovurdering er påkrevd før anskaffelser av it-tjenester med Helse-Sør-Øst-saken som eksempel

Datatilsynet varslet i forrige uke ni helseforetak om bøter på kr 800.000 per foretak (dvs. bøter på totalt kr 7,2 millioner). Bøtene ble gitt på grunnlag av at helseforetakene bl.a. ikke hadde foretatt tilstrekkelig risikovurderinger før beslutning om it-tjenestene for foretakene skulle outsources, at ledelsen i foretakene ikke var tilstrekkelig involvert i beslutninger som ble fattet og at personopplysningene ikke var tilstrekkelig sikret.

Les merOm risikovurdering er påkrevd før anskaffelser av it-tjenester med Helse-Sør-Øst-saken som eksempel