Paratum Consulting AS

Postboks 320

2303 Hamar

ParatumConsulting © 2018 -  all rights reserved

  • Facebook Basic Black
  • LinkedIn Basic Black

Jeg er klar for GDPR - hva nå?

Du har kanskje gjort det du kan for å etterleve kravene i GDPR, men hvordan forvalter man GPDR på en hensiktsmessig måte? Løsningen på dette er like enkel som den er kostnadseffektiv og løsningen heter "GDPR AUTO"



Ny personopplysningslov trådde i kraft i Norge 20 juli. Og med det, også endringer i kravene til bedrifter som håndterer personopplysninger - i prinsippet "ALLE" bedrifter. Bedrifter vet at personopplysninger er verdifulle, noe som også gjenspeiles i det særdeles høye bøtenivået i GDPR. Det er derfor viktig å effektivt kunne forvalte disse med så liten risiko som mulig. 


Å forvalte alle oppgavene er ikke lett.


Det er en rekke krav relatert til måten bedriften håndterer personopplysninger på. Kravene og måten man håndterer opplysninger på vil være forskjellig basert på hvilken gruppe de tilhører. Man håndterer f.eks ikke partnere, kunder, ansatte, pasienter, brukere av tjenester, barn etc, likt. Det samme gjelder for kategori av opplysninger man behandler. Håndtering av særlige kategorier data som feks helseopplysninger, er underlagt andre krav enn de opplysninger som f.eks er allment tilgjengelig eller kan lastes ned fra en webside. Behandlingsgrunnlagene varierer, men det skal være gyldig, og det krever oppfølging. Man vil også få henvendelser fra individer som utøver sin rett iht GDPR og vil ha innsyn, endring eller flytting av data.


Oppfølging av rutine- og avtaledokumenter eller gjennomføring av oppgaver fra individer betinger at man har tilstrekkelig kunnskap og forståelse av GDPR. I tillegg skal det dokumenteres at endringer eller gjennomføring av oppgaver er gjort i tråd med GDPR. Eksemplene over er kun noen av oppgavene som en personvernansvarlig må holde styr på. Hvordan gjør man dette sikkert og effektivt?


GDPR Auto - Personvernanombudets beste venn!


GDPR Auto er et verktøy som håndterer hele livssyklusen til personopplysninger man behandler. Det er laget spesielt for at personvernombudet skal kunne forvalte alle personopplysninger og oppgaver relatert til dette på en effektiv måte, samtidig som det reduserer risiko og kostnad for bedriften. Verktøyet egner seg like godt for små som store bedrifter, private som offentlige.  


Hvordan fungerer GDPR Auto?


Ved installasjon av GDPR Auto, går man igjennom en spørring som genererer en GAP- analyserapport som viser hvilke områder som må forbedres - for å være i samsvar med GDPR. Rapporten er en arbeidsliste og oversikt over grad av samsvar, og kan gjentas for internrevisjon (noe som også er et krav i GDPR)eller ved behov. Den fungerer også som dokumentasjon til ledelsen i bedriften eller Datatilsynet. GAP rapporten viser også hvilke dokumenter (avtaler, policyer og rutiner) du mangler - hvis noen. Standard EU maler for disse dokumentene ligger i dokumentarkivet i GDPR Auto. Man konfigurerer GDPR Auto med forskjellige tilgangsnivåer basert på rolle på brukeren. Personvernombudet har høyeste tilgangsnivå. Videre legger man inn gjeldende policyer for behandling (behandlingsgrunnlag, behandlingstid, ansvarlige personer, systemer data befinner seg i osv), samt definerer regler relatert til forskjellige typer data (ansatte, kunder, partnere, pasienter osv) og kategorier data (personopplysninger, sensitive/særlig kategori, biometriske osv) man behandler. 

Når systemet er konfigurert, legger man til "de registrerte individer". Dette gjøres manuelt for mindre bedrifter, eller gjennom systemintegrasjon mot eksisterende databaser via API for større bedrifter.



Når GDPR er satt opp, automatiserer GDPR oppgaver som er relatert til personopplysninger. Som nevnt har GDPR Auto en egen dokumentdatabase for policy dokumenter, rutinebeskrivelser og avtaler. Her kan du laste opp egne dokumenter. Endres disse, loggføres dette i GDPR Auto slik at man har full versjonskontroll. Oppgaver man mottar (som f.eks begjæring fra registrerte som ønsker å utøve sin rett til innsyn, endring, portabilitet, endring sletting), varsles direkte til Personvernombudet og genererer samtidig automatisk en arbeidsliste med tidsbegrensing i GDPR Auto hvor man enkelt får oversikt over oppgaver som må gjennomføres, ansvarlige for oppgaven, og status på oppgaven.  



I registeret over individer ser man kun hvilke type data man har på den enkelte registrerte, og hvilke systemer (Databaser, papirarkiver) data fins i, men ikke selve dataene. Dette er gjort for å sikre at man ikke bryter med GDPR ved at bruker av GDPR Auto tilkjennegir eller blir gjort kjent med personopplysningene selv. I dette bildet kan man også anonymisere, slette, pseudoanonymisere data eller sette data i karantene. 



GDPR Auto har et eget "dashboard" som til enhver tid viser risikoen i bedriften. Hvilke typer data som innebærer risiko delt inn i grupper av kunder, ansatte, pasienter osv.

Det er en egen oversikt over samtykker som er utgått eller må fornyes innen et bestemt tidsrom. Dashboardet viser også hvilke oppgaver som må løses, status på disse og samtidig gir det muligheten til å raskt og effektivt løse oppgaven(e) fra dashboardet.

Man kan håndtere data for en enkelt registrering, eller behandle en gruppe f.eks ved å sende forespørsel om samtykke til en større gruppe i en operasjon. Som en sikkerhetsfunksjon, har GDPR Auto også loggføring av alle handlinger i systemet og etter en handling er utført, ser man direkte hvordan man har redusert (eller mot formodning, økt) risikoen til bedriften.


Ved å klikke på pilen midt i bildets høyre kant, kan du se noen skjermdumper fra GDPR Auto og de funksjonene diskutert over. Er du interessert i et slikt verktøy, kan du kontakte oss på info@paratumconsulting.com