”Vi må først fikse lekkasjen, deretter kan vi informere om det”. Det høres sikkert ut som en logisk reaksjon, men GDPR stiller tydelige krav: alle berørte skal informeres ved et datainnbrudd, hvis det er risiko for ID-tyveri. I GDPR-skolens femte del går vi gjennom de nye reglene, og hva du i den forbindelse skal overveie. Heng på!

Hva sier GDPR?

Når GDPR trer i kraft i mai 2018, har privatpersoner (også i deres egenskap som ansatte) rett til å bli informert om hackerinnbrudd som potensielt kan sette personopplysningene deres på spill. Hendelsen skal også rapporteres til Datatilsynet innen 72 timer.

Les mer om grunnene her

Hva skal du som driver en virksomhet foreta deg?

Lovgivningen sier altså helt konkret at din virksomhet skal informere berørte personer, hvis dere mistenker, at deres personopplysninger kan ha havnet i feil hender, eller det foreligger en risiko for ID-tyveri eller bedrageri. Dermed har den enkelte person muligheten til å bytte passord eller ta andre sikkerhetstiltak – avhengig av situasjonens alvor. Dere skal også dokumentere episoden og melde den til Datatilsynet innen 72 timer.

På grunn av den allerede spesifiserte tidsrammen og kravet om dokumentasjon, har du og kollegene dine bruk for en gjennomtenkt prosess for hvordan dere angriper situasjonen i tilfelle et innbrudd eller en lekkasje. Hva skal gjøres? Og av hvem? Hvis dere ikke har noen plan, kan 72 timer være altfor lite tid! Tenk gjennom situasjonen på forhånd, og følg de fastsatte rutinene ved en potensiell hendelse – dermed vil virksomheten din i prinsippet også oppfylle kravene i GDPR.

Påvirkning på IT-arbeid og krisekommunikasjon

Ved innbrudd har virksomheter tidligere kunnet holde dette for seg selv med forklaringen om at de først ville stenge sikkerhetshullet «slik at ingen skal kunne åpne det igjen.» Men det har vært tvetydig; kan man vente så lenge man vil? Bør ikke de som er rammet få muligheten til å treffe egne beslutninger?

Derfor er GDPR tydeligere i språket, og gir mer makt til privatpersoner. Virksomheter er forpliktet til å ha faste rutiner for IT-innbrudd og til å kommunisere bedre i krisesituasjoner, så de berørte individene kan reagere. Midt i bunken av krav, er det også noe fint med den nye lovgivningen: Ved å følge GDPR gir din virksomhet mer handlingskraft til sine kunder og skaper tillit mellom kunde og virksomhet gjennom økt transparens!

NB: Vi på Lime kan mye om GDPR, men vi er i første omgang CRM-eksperter og ikke jurister (og vi har ingen planer om å bli det i overskuelig fremtid, heller!). Våre innlegg om GDPR er derfor ikke noen juridisk rådgivning. Se dem heller som informasjon og inspirasjon til å komme i gang med å innføre GDPR – du og virksomheten din må selv sette dere ordentlig inn i de forskjellige spørsmålene og skaffe juridisk hjelp ved behov. Lykke til!

There are currently no comments.