Veiledning for vurdering av personvernkonsekvenser (DPIA) fra Artikkel 29-gruppen

Tidligere denne måneden kom Artikkel 29-gruppen med en veiledning for vurderinger av personvernkonsekvenser eller såkalte DPIA (Data Protection Impact Assessments), dvs. risikovurderinger for databehandling. Veiledningen er nyttig, siden den gir ytterligere veiledning for når det skal gjennomføres DPIA.

Fortsett å lese Veiledning for vurdering av personvernkonsekvenser (DPIA) fra Artikkel 29-gruppen

Hvordan gjennomføre et GDPR-prosjekt?

Siden den nye personvernforordningen (GDPR) og den nye personopplysningsloven vil få betydning for alle virksomheter, vil alle virksomheter måtte gjennomføre et prosjekt for å få virksomheten i overensstemmelse med de nye reglene. Et slikt prosjekt er et felles prosjekt som spesielt HR, IT og de ansvarlige for forretningsdriften må ta stor del i, men ofte er det én person som blir ansvarlig, som internadvokaten (for det handler jo om juss…), IT-avdelingen (dette er vel noe med data…), HR eller andre. Her er en enkel oversikt over hva den som blir ansvarlig kan gjøre for å gjennomføre et GDPR-prosjekt.

Fortsett å lese Hvordan gjennomføre et GDPR-prosjekt?

Er din virksomhet forpliktet til å ha personvernrådgiver (personvernombud) og hva innebærer det?

EUs personvernforordning (GDPR) blir norsk rett gjennom ny personvernlov senest 25. mai 2018. Det er et omfattende regelsett som følger med de nye reglene (se her for oversikt), og for virksomheter som bl.a. behandler spesielt mye personopplysninger, er det en plikt til å ha kompetanse på personvernreglene internt ved å ha en personvernrådgiver (personvernombud). Gjelder dette din virksomhet?

Fortsett å lese Er din virksomhet forpliktet til å ha personvernrådgiver (personvernombud) og hva innebærer det?

Overføring av personopplysninger til USA lovlig etter EUs standardbestemmelser?

I går – 3. oktober – avgjorde Irlands høyesterett at det skal fremmes sak for EU-domstolen om vurdering av lovligheten for overføring av personopplysninger fra EU til USA på grunnlag av EUs standardbestemmelser.

Fortsett å lese Overføring av personopplysninger til USA lovlig etter EUs standardbestemmelser?

Bruk kontrakten til å nå målene med it-anskaffelsen

It-systemer og løsninger er av stor betydning for virksomheten og forretningsdriften til mange selskaper. Derfor er det avgjørende at en når målene man har med it-anskaffelser. Et ofte undervurdert verktøy for å nå målene med it-anskaffelsen, er kontrakten mellom kunden og leverandøren. Kontrakten puttes ofte i skuffen etter inngåelse, og det også med rette siden det inngås mange kontrakter som ikke gir mye hjelp i leveransen. Men kontrakten kan også være et godt virkemiddel for å få gjennomført målene med en it-anskaffelse dersom kontrakten er laget med den hensikt å hjelpe til å nå målene.

Fortsett å lese Bruk kontrakten til å nå målene med it-anskaffelsen

Du må stå ved avtalen du inngår!

Høyesterett har klarlagt grensene for å kunne hevde at man ikke er bundet av en avtale og trekke en aksept av et tilbud. Og har man akseptert et tilbud gitt i kommersielle forhold mellom profesjonelle og likestilte parter, så er det stor sannsynlighet for at man er bundet.

Fortsett å lese Du må stå ved avtalen du inngår!

Ny vår for multisourcing?

IT-tjenesteleveranser fra flere leverandører, såkalt multisourcing, har vært benyttet i mange år. Derimot har det vært varierende hvor vellykket denne leveransemodellen har vært, Kan nye tjenestemodeller og mer fokus på tjenesteintegrasjon og -håndtering (SIAM) endre dette?

Fortsett å lese Ny vår for multisourcing?

5 vanlige brudd på de nye personvernreglene (GDPR)

Innen 25. mai 2018 må alle selskaper i Norge (og Europa) følge reglene i personvernforordningen (GDPR) og i den nye personvernloven. Jeg bistår selskaper i å vurdere om de behandler personopplysninger etter de nye reglene, og her er de 5 vanligste bruddene på de nye personvernreglene som avdekkes.

Fortsett å lese 5 vanlige brudd på de nye personvernreglene (GDPR)

Hva må være med i kontrakter for skytjenester?

Skytjenester, dvs. tjenester levert over internett, har nådd et modningsnivå som gjør tjenestene stadig mer aktuelle for flere virksomheter. Men kontraktsvilkårene for skytjenester er ikke like fleksible som tjenestene de regulerer. Vilkårene er som regel komplekse, omfattende og kundenes behov er i liten grad hensyntatt. Kundene kan også i liten grad endre vilkårene, siden de skal gjelde for et stort antall kunder. Vilkårene kan derfor medføre høy risiko for kunder som anskaffer skytjenester, og kan i enkelte tilfelle kan være så urimelige at kundene bør avstå fra å anskaffe skytjenesten. Før man kjøper skytjenester, må derfor vilkårene vurderes nøye. Her er noen av det man må spesielt være påpasselig med når man inngår avtale med leverandør av skytjenester.

Fortsett å lese Hva må være med i kontrakter for skytjenester?

Facebook bøtelagt med EUR 1,2 mill av det spanske datatilsynet

Facebook er bøtelagt med EUR 1,2 mill. av det spanske datatilsynet for å ha samlet inn informasjon fra brukerne uten å oppgi hvordan informasjonen skal benyttes. Det franske datatilsynet har gitt Facebook bøter på EUR 150.000 for tilsvarende forhold. 

Fortsett å lese Facebook bøtelagt med EUR 1,2 mill av det spanske datatilsynet