Personvern
Behandlingsgrunnlag: hvordan velge riktig grunnlag
Behandlingsgrunnlag må velges per formål og før opplysningene tas i bruk. Det er ikke noe man rydder opp i etterpå.
Les guideFagområde
Personvern
Guider om behandlingsgrunnlag, databehandleravtaler, avvik, lagring og andre personvernspørsmål bedrifter må ha kontroll på.
Praktiske guider i dette fagområdet
Trenger du hjelp med Personvern?
Bruk guidene til å sortere spørsmålene først. Ta kontakt hvis dere trenger hjelp til å vurdere dokumentasjon, beslutninger, plikter eller neste steg i en konkret sak.
- selskapsrett, styrearbeid og eierforhold
- skatterett, MVA og rapporteringsplikt
- arbeidsrett, kontrakter og personvern
- immaterialrett, tvister og etterlevelse
Praktisk første avklaring for bedrifter som vil håndtere juss, compliance og tvister ryddig før det blir dyrt eller tidkrevende.
Start her
Tre guider som gir deg retning raskt.
Personvern
Personvernerklæring: hvem trenger det og hva bør stå der?
En personvernerklæring skal forklare den faktiske behandlingen på en forståelig måte.
Les guide
Personvern
Databehandleravtale: hva må være med?
Databehandleravtalen bør være konkret nok til å styre en reell tjeneste, ikke bare oppfylle et minimumskrav.
Les guideAlle guider
Flere artikler i Personvern.
Protokoll over behandlingsaktiviteter: slik kommer du i gang
En behandlingsprotokoll er først nyttig når den gir ledelsen oversikt over hva som faktisk skjer med dataene.
DPIA: når må du vurdere personvernkonsekvenser?
DPIA bør brukes når risikoen for personer er høy, ikke som et papirarbeid i etterkant.
Innebygd personvern når du kjøper eller bygger systemer
Innebygd personvern fungerer best når kravene kommer inn før systemvalg og utvikling er låst.
Cookies, analyse og samtykke for bedrifter
Cookies og analyseverktøy må vurderes sammen med hvordan dere faktisk sporer og profilerer brukerne.
Tilgangsstyring og rutiner for ansatte
Tilgangsstyring er ofte svakest der virksomheten vokser fort og gamle tilganger bare blir liggende.
Personvernombud: har bedriften plikt?
Personvernombud er ikke et kvalitetstegn i seg selv. Først må dere vurdere om dere faktisk har plikt eller et reelt behov.
Avvik og brudd på personopplysningssikkerheten: hva gjør du?
Ved personvernbrudd må dere både stanse skaden, forstå omfanget og avgjøre om Datatilsynet og de registrerte skal varsles.
Lagringstid og sletterutiner for kundedata
Gode sletterutiner handler om mer enn å sette en dato. Dere må vite hvorfor dataene lagres og hvem som eier prosessen.
Overføring av personopplysninger til land utenfor EØS
Overføring til land utenfor EØS bør vurderes før løsningen tas i bruk, ikke etterpå.
Kundeopplysninger i CRM: hva må bedriften ha kontroll på?
CRM-data blir fort en blanding av salg, support og markedsføring. Det gjør kontrollen på formål og lagring ekstra viktig.
Ansattdata: hvilke opplysninger kan arbeidsgiver behandle?
Ansattdata kan behandles når virksomheten trenger det, men arbeidsgiver må være særlig bevisst på maktbalansen og nødvendigheten.
Personvern for kamera og sporing på jobb
Kamera og sporing på jobb krever en konkret vurdering av behov, proporsjonalitet og informasjon til de ansatte.
Innsynsbegjæring fra kunde eller ansatt: hvordan svare?
En innsynsbegjæring blir enklest når virksomheten vet hvor opplysningene finnes, hvem som skal svare og hvordan svaret kan gis uten å avsløre for mye eller for lite.
Retting, sletting og begrensning: hvordan rigge rutiner?
Rettigheter som retting, sletting og begrensning fungerer dårlig uten en konkret intern prosess som vet hvem som bestemmer, hva som skal kontrolleres og hvor endringene må gjøres.
Behandlingsansvarlig eller databehandler: hvordan vurdere rollen?
Mange avtaler bruker ordet databehandler automatisk, men rollevalget må bygge på hvem som faktisk bestemmer formål og midler for behandlingen.
Felles behandlingsansvar: når gjelder det?
Felles behandlingsansvar oppstår ikke bare fordi to virksomheter samarbeider. Det krever at de i fellesskap bestemmer formål og midler for behandlingen.
Markedsføring på e-post og SMS: hva må bedriften passe på?
E-post og SMS er effektive kanaler, men bare når virksomheten vet hvem den kan kontakte, på hvilket grunnlag og hvordan avmelding og dokumentasjon skal fungere.
Legitimasjonskontroll: hva kan virksomheten se og lagre?
Ved legitimasjonskontroll bør virksomheten vite hvorfor identitet må bekreftes, hvilke opplysninger som faktisk trengs og hva som ikke bør kopieres eller beholdes.
Backup, logg og arkiv: hvordan passer det med sletterutiner?
Sletterutiner fungerer ikke hvis backup, logger og arkiv holdes utenfor. Virksomheten må vite hva som faktisk slettes, når og i hvilke lag data fortsatt finnes.
Dataminimering: hvordan rydde i skjemaer og systemer?
Dataminimering er enklest når virksomheten går konkret inn i felter, rutiner og rapporter og spør hva som faktisk trengs for formålet.
Databrudd hos databehandler: hvem gjør hva?
Når et databrudd skjer hos databehandler, må både varsling, rolleforståelse og praktisk håndtering sitte. Uklare avtaler koster dyr tid i de første timene.
Logging og kontroll i IT-systemer: hva må avklares?
Logging er nødvendig i mange systemer, men bør være styrt av formål, tilgang og oppbevaring. Ellers blir kontrollmekanismen raskt et personvernproblem i seg selv.
Samtykke: når fungerer det og når bør det unngås?
Samtykke passer ikke for alt. Det fungerer best når den registrerte har et reelt valg og virksomheten faktisk kan leve med at samtykket trekkes tilbake.
Personvern i rekruttering og jobbsøknader
Rekruttering innebærer mye persondata på kort tid. Derfor bør virksomheten vite hva som samles inn, hvem som ser det og hvor lenge materialet beholdes.
Informasjonsplikt når opplysninger kommer fra andre enn den registrerte
Når personopplysninger samles inn fra andre kilder enn personen selv, må virksomheten være ekstra bevisst på hva som skal informeres om og når.
Deling av personopplysninger i konsern eller med rådgivere: hva må vurderes?
Deling internt i konsern eller med rådgivere er ikke bare en praktisk detalj. Virksomheten må vite hvorfor delingen skjer, hvem som har rolleansvar og hvor grensene går.
Profilering og segmentering av kunder: hva må bedriften vurdere?
Profilering og segmentering kan være nyttig, men virksomheten bør vite hvilke data som brukes, hva analysen påvirker og hvordan kundene informeres om dette.
Kundedata i AI-verktøy: hva må bedriften avklare?
AI-verktøy kan gi fart og innsikt, men virksomheten bør vite hvilke kundedata som legges inn, hva leverandøren kan gjøre med dem og hvilke grenser som må settes internt.
Sensitive personopplysninger: når er de i spill og hva kreves?
Mange virksomheter håndterer sensitive personopplysninger uten å tenke over det. Derfor bør de vite når slike data faktisk er involvert og hvilke ekstra krav som følger med.
Privat bruk av arbeidsutstyr og innsyn fra arbeidsgiver: hva gjelder?
Privat bruk av jobb-PC, telefon og kontoer skaper vanskelige gråsoner når arbeidsgiver trenger innsyn. Derfor bør virksomheten ha tydelige rammer før situasjonen oppstår.
Leverandørbytte og migrering av personopplysninger: hva må planlegges?
Ved leverandørbytte flyttes ofte store mengder personopplysninger på kort tid. Da bør virksomheten planlegge både ansvar, sikkerhet og sletting like nøye som selve systembyttet.
Tilgangsstyring ved fratreden: hvordan sikre data når noen slutter?
Når noen slutter, må virksomheten både beskytte personopplysninger og sikre kontinuitet. Det krever mer enn bare å deaktivere én bruker sent på siste dag.
Berettiget interesse: hvordan gjøre interesseavveining?
Berettiget interesse er ikke en reservehjemmel for alt dere ønsker å gjøre. Virksomheten må kunne vise både et reelt behov, nødvendighet og en forsvarlig avveining.
Neste område
Selskapsrett
Guider om selskapsform, eierskap, vedtekter, registreringer og beslutninger som må sitte når virksomheten skal bygges, endres eller avsluttes.
Neste område
Skatterett
Guider om MVA, forskuddsskatt, skattemelding, fradrag og andre skattevalg som påvirker drift, likviditet og risiko.
Neste område
Arbeidsrett
Guider om arbeidsavtaler, arbeidstid, sykefravær, permittering, varsling og andre spørsmål arbeidsgivere må håndtere ryddig.