GDPR sjekkliste fra Adminkit

Sist oppdatert: Februar 2024

 

Svar på 5 spørsmål om personvernet i din virksomhet og få svar på om dere har god nok orden

- eller om det er noe dere bør forbedre! 

 

1. Lagrer virksomheten din personopplysninger?

Hva er personopplysninger?
Personopplysninger er alle opplysninger og vurderinger som kan knyttes til en enkeltperson, enten alene eller sammen med andre opplysninger. Det kan være navn, adresse, telefonnummer, e-post og fødselsnummer. Andre personopplysninger kan være bilder, IP-adresser, bankkontonummer, registreringsnummer på bil eller kredittsjekk/rating. Det kan være opplysninger om kunder, ansatte eller samarbeidspartnere.
 
Dette er eksempler på områder hvor personopplysninger behandles:
 
  • Ansattinformasjon i regnskapsprogramvare
  • Håndtering av CV og kommunikasjon i rekrutteringsprosesser
  • Elektronisk adgangssystem
  • CRM eller ERP-system med kunde- eller leverandøropplysninger
  • Ringpermer og mapper i fysisk arkiv
 
Personopplysninger som klassifiseres som sensitive/særskilte opplysninger krever ekstra beskyttelse.
Det kan være opplysninger om rase/etnisk opprinnelse, politisk oppfatning, religion, fagforeningsmedlemskap, helseopplysninger og seksuell orientering.

2. Har virksomheten en oppdatert protokoll over behandlingsaktiviteter?

Hva er protokoll over behandlingsaktiviteter?
Alle bedrifter og organisasjoner som håndterer personopplysninger, uavhengig av størrelse, er pålagt å opprette en behandlingsprotokoll. Det er den Datatilsynet vil spørre etter ved tilsyn.
 
Du må ha en GDPR-protokoll, som også kalles en behandlingslogg, for å oppfylle GDPR-kravene. Den gir en detaljert oversikt over hvordan virksomheten din behandler personopplysninger. Protokollen skal gi en oversikt over bl.a:
 
  • Hvilke personopplysninger som lagres

  • Hvorfor de lagres

  • Hvor de lagres (i hvilke systemer og hvor i verden)

  • Hvem som har tilgang til opplysningene

  • Hvordan de er sikret

  • Hvilke sletterutiner dere har

 

3. Har virksomheten gjennomført en risikovurdering?

Hva er en risikovurdering?
Det vil alltid være risiko knyttet til oppbevaring av personopplysninger. Risikovurderingen er dokumentasjonen som viser at du har tenkt på hva som kan gå galt, sannsynligheten for at det går galt og konsekvensen dersom det går galt.
 
Noen eksempler på ting som kan gå galt:
 
  • Det samles inn flere personopplysninger enn det som er nødvendig for formålet
  • Den registrerte får ikke innsyn i hvilke personopplysninger som er lagret
  • Det blir gjort forskjellsbehandling
  • Identitetstyveri eller -bedrageri
  • Økonomisk tap
  • Skadet omdømme
  • Andre enn de som trenger det har tilgang
  • Alle personopplysninger er sikret, også fysiske arkiv
 

4. Har du oversikt over databehandleravtalene fra alle nødvendige systemer/parter?

Hva er en databehandleravtale?
Du har plikt til å ha en databehandleravtale med underleverandører som behandler data på vegne av deg, eller som har tilgang til sensitiv data du deler med dem.
 
Databehandleravtalen skal sikre at personopplysningene blir behandlet i samsvar med regelverket, og setter en klar ramme for hvordan partneren din kan behandle opplysningene.
 
Du må ha oversikt over hvilke underleverandører som behandler personopplysninger fra deg, og hvordan disse opplysningene blir behandlet.
 

5. Har du en personvernerklæring tilgjengelig for kunder, partnere eller leverandører?

Hva er en personvernerklæring?
I en personvernerklæring erklærer (forklarer) du hvordan du behandler personopplysninger i en gitt situasjon.
Personvernerklæring skal blant annet inneholde:
 
  • Hvem du er og hvordan man kan kontakte deg
  • Hvorfor du behandler personopplysningene
  • Hvilken grunn du har til å gjøre det  (f.eks for å sende ut nyhetsbrev eller å selge varer og tjenester)
  • Hvem du deler personopplysningene med
  • Hvor lenge du skal ha personopplysningene og når de skal slettes
  • Hvilke rettigheter man har. Det kan være innsyn i hvilke opplysninger du bruker, retting, sletting, begrensning, protestering, overføring, å trekke tilbake et samtykke eller å klage deg inn til Datatilsynet.
 

Wow!

Du har god kontroll på hva som bør være på plass for å ha orden på GDPR og hvilken dokumentasjon som er nødvendig når man jobber med personvern. 
 

Tips!

Arbeidet med GDPR er ikke en engangsoppgave, men et kontinuerlig arbeid.
Når noe endres, som at en ansatt slutter eller dere har fått en ny leverandør, bør protokollen og personvernerklæringen oppdateres.

Ønsker du å effektivisere arbeidet?
Prøv Adminkit GDPR, der databehandleravtaler, risikovurdering og personvernerklæring automatisk oppdateres hver gang du gjør endringer i behandlingsprotokollen.

 

Ta meg tilbake til start

Bra!

Du har ganske god oversikt over hva som skal til for å følge GDPR-reglene, men mangler fortsatt en del for at dokumentasjonen skal være komplett.

Forsøk å sette av faste møter hvor bedriften går gjennom GDPR-arbeidet i bedriften.

 

Tips!

Arbeidet med GDPR er ikke en engangsoppgave, men et kontinuerlig arbeid.
Alle endringer i virksomheten bør inn i protokollen, og samtidig bør du oppdatere personvernerklæringen.

Ønsker du å effektivisere arbeidet?
 Prøv Adminkit GDPR, der databehandleravtaler, risikovurdering og personvernerklæring automatisk oppdateres hver gang du gjør endringer i behandlingsprotokollen.

 

Ta meg tilbake til start

Huff da...

Du har en viss kjennskap til GDPR, men er kanskje ikke helt i mål?

Det viktigste arbeidet ligger i protokollen. Har du oversikt der, er allerede mye på plass!
 
Arbeidet med GDPR er ikke en engangsoppgave, men et kontinuerlig arbeid.
Med et godt verktøy er det enklere.

Prøv Adminkit GDPR
 Med Adminkit GDPR får du databehandleravtaler, risikovurdering og personvernerklæring automatisk når du gjør endringer i behandlingsprotokollen.

 

Ta meg tilbake til start

Her mangler det endel!

Selv om det er 5 år siden du skulle hatt dette på plass, er det ikke for sent å begynne! Men du burde ikke vente mye lenger.
Du ha kontroll på alt av personopplysninger og hvordan dere bruker dem.

Trenger du hjelp til å komme i gang?
Book et møte med oss! Vi gir deg en rask innføring i kravene til GDPR, helt uten forpliktelser.

Ta meg tilbake til start


Hva er Adminkit GDPR?

 

Adminkit GDPR er et digitalt GDPR-verktøy som hjelper deg med å etterleve minimumskravene for GDPR:

 

  • Behandlingsprotokoll
  • Databehandleravtaler
  • Risikovurdering
  • Personvernerklæring
  • Varslingsrutiner ved avvik

 

For kun 990,- per mnd får du en billig forsikring mot bøter og tap av omdømme. 

 

Alt i ett-løsning for GDPR