Dokumentasjon på at behandling av personopplysninger skjer etter reglene i GDPR

Etter GDPR skal det kunne dokumenteres at behandlingen skjer etter reglene i GDPR og at det er gjennomført organisatoriske og tekniske tiltak for å sikre personopplysningene.

Hva som ligger kravet til dokumentasjon er ikke klart etter GDPR, og det er nok mange behandlingsansvarlige som ikke har dokumentasjonen på plass.

Fortsett å lese Dokumentasjon på at behandling av personopplysninger skjer etter reglene i GDPR

Om risikovurdering er påkrevd før anskaffelser av it-tjenester med Helse Sør-Øst-saken som eksempel

Denne posten er mer enn 4 år gammel, så lovgivning som ligger til grunn for innholdet kan være endret.

Datatilsynet varslet i forrige uke ni helseforetak om bøter på kr 800.000 per foretak (dvs. bøter på totalt kr 7,2 millioner), bl.a. Helse Sør-Øst (Datatilsynet har fjernet siden med informasjon av denne saken i ettertid av en eller annen grunn). Bøtene ble gitt på grunnlag av at helseforetakene bl.a. ikke hadde foretatt tilstrekkelig risikovurderinger før beslutning om it-tjenestene for foretakene skulle outsources, at ledelsen i foretakene ikke var tilstrekkelig involvert i beslutninger som ble fattet og at personopplysningene ikke var tilstrekkelig sikret.

Fortsett å lese Om risikovurdering er påkrevd før anskaffelser av it-tjenester med Helse Sør-Øst-saken som eksempel

Denne posten er mer enn 4 år gammel, så lovgivning som ligger til grunn for innholdet kan være endret.