Alle virksomheter må oppdatere sine rutiner for internkontroll

Publisert:

Alle virksomheter skal ha rutiner for internkontroll som sikrer at virksomheten oppfyller rettigheter og plikter knyttet til personvern. Den nye personvernforordningen inneholder flere nye krav som må innarbeides i rutinene.

Samarbeid på kontor

Dagens krav til internkontroll videreføres i stor grad i det nye regelverket. Virke anbefaler derfor at det kontrolleres at rutiner som oppfyller dagens regler er på plass. Se Datatilsynets veileder for internkorntroll for det gjeldende regelverket.

Meldeplikten vil bortfalle, slik at dette kan strykes fra rutinene etter at de nye reglene har trådt i kraft i mai 2018.

Deretter må rutiner for håndtering av personopplysninger oppdateres slik at man legger til rette for å oppfylle forordningens nye krav, som er:

  • en tydeligere rett til å kreve sletting av egne personopplysninger (retten til å bli glemt)
  • rett til å kreve at behandlingen begrenses
  • rett til å ta med seg opplysningene til en annen virksomhet (dataportabilitet)
  • rett til å motsette seg profilering (f.eks. der profilen brukes som ledd i direkte markedsføring)
  • snever adgang til å bruke automatiserte avgjørelser, inkludert personprofiler

Frist for å svare på krav fra den registrerte er satt til én måned. Det må derfor etableres rutiner som sikrer en effektiv håndtering av henvendelser.

Les mer om de nye kravene her>>

Det må i tillegg utarbeides egne rutiner for informasjonssikkerhet. Disse vil inngå som en del av virksomhetens internkontroll. Les mer om informasjonssikkerhet her.