25.mai 2018 trer den nye EU-forordning om personvern, GDPR (General Data Protection Regulation), i kraft. Reguleringen har som målsetning å styrke personvernet, med vekt på digital utveksling av informasjon, og får konsekvenser for alle som trenger å lagre eller behandle personopplysninger.
GDPR avløser det tidligere Personverndirektivet fra EU og har til hensikt å styrke personvernet. GDPR regulerer hvordan man kan samle inn, lagre, utveksle og benytte personopplysninger.
Forordningen gjelder ved all handel med både EU- og EØS-land, både Norge og alle andre land i verden som skal handle med EU/EØS er bundet av denne forordningen.
GDPR skal sørge for å ivareta dine personopplysninger uavhengig av om du opptrer som privatperson, tilknyttet en organisasjon, eller firma/virksomhet. Det er den enkelte virksomhets ansvar å påse at regelverket følges.
GDPR omfatter all informasjon som identifiserer en person
Det kan være navn, bilde, video, epost, bankopplysninger, adresse, posisjon, helseinformasjon, IP-adresse, personnummer, familie mm.
Vi får noen spørsmål om cookies spesielt ifbm. Google Analytics, samt om hva Google identifiserer ved brukeren. Du kan fra 25 mai sette levetid på de dataene nettsiden din samler inn her: https://support.google.com/analytics/answer/7667196
Forordningen gjelder også for egne ansatteopplysninger som lagres internt i bedriften/organisasjonen.
Krav om samtykke
Før personopplysninger kan tas i bruk skal personen ha gitt sitt samtykke. Dette skal være en aktiv og frivillig handling. Ferdigutfylte skjemaer eller avkrysningsbokser holder ikke.
Forklaring på hva dataene skal brukes til må være spesifisert og skrevet på en informativ og utvetydig måte i en personvernerklæring. Betingelser for aksept skal være i en lettfattelig form som alle kan forstå.
GDPR er virksomhetens ansvar
Den enkelte virksomhet må selv tilfredsstille kravene til GDPR. Den plikter også å sjekke at alle samarbeidspartnere som virksomheten utveksler personopplysninger med, gjør det samme. Dette skal dokumenteres gjennom skriftlige databehandleravtaler. Her finner du datatilsynets anbefalte avtale. Behandler vi kundedata for dine kunder finnes databehandleravtale her. Les ellers om Sircon Norge AS sine regler for sikkerhet og personvern her: https://sircon.no/sikkerhet-og-personvern/
Dette vil si at norske bedrifter får nye lover å forholde seg til. For vår del er spesielt nytt lovverk rundt kryptering av sensitiv informasjon relevant, for å sikre personopplysninger og lignende med moderne krypteringsmetoder. Det nye lovverket tilsier at all kryptering skal skje med PCI DSS-sertifiserte krypteringsmetoder, og nye metoder må derfor tas i bruk.
Mer om dette kan leses her: https://www.datatilsynet.no/regelverk-og-skjema/veiledere/hva-betyr/
Hva er PCI DSS?
PCI DSS (Payment Card Industry Data Security Standard) er en standard som er innført av PCI Security Standards Council. Formålet med standardene er å forhindre kortsvindel på nett, ved å kryptere kortinformasjon.
Standardene inkluderer blant annet oversikt over sterke krypteringsmetoder, og de validerer dette årlig.
Blant annet er SSL, TLS 1.0 og TLS 1.1 ikke lengre betraktet som sterke krypteringsmetoder, da det er funnet sikkerhetshull i disse protokollene som ikke kan løses.
Det hele beskrives i denne artikkelen: https://goo.gl/zcLK9H
Implementering av nye krypteringsalgoritmer
Vi i Sircon har allerede forsøkt å ta i bruk nye krypteringsalgoritmer, men vi måtte stille dette tilbake igjen.
Hovedårsaken var at enkelte e-postklienter ikke har støtte for de nye krypteringsalgoritmene enda. Vi fikk flere tilbakemeldinger fra kunder som opplevde problemer med å sende e-post fra Outlook, Apple Mail og fra diverse dokumentscannere.
Dette vil si at vi kommer til å kjøre gamle krypteringsalgoritmer inntil videre, men vi vil implementere de nye krypteringsalgoritmene når fristen nærmer seg. Forhåpentligvis har da de store leverandørene som Microsoft og Apple sendt ut oppdatering som støtter de nye krypteringsalgoritmene.
Sjekkliste:
Det viktigste er å være klar over hvilke personlige data man innhenter, hvordan disse sikres mot å komme på avveie, samt hvilke rutiner man har for å slette disse dataene.
- Kartlegg hvilke data dere innhenter og dokumentér
- Data på avveie: Oppdater programvare og bruk moderne godkjente krypteringsalgoritmer.
- Interne prosedyrer, taushetserklæring, dokumentér
- Dokumentasjon, personvern og databehandleravtale.
Ta kontakt om dere trenger dokumentasjon fra oss.