Risikovurderinger for behandling av personopplysninger (også kalt personvernvurderinger) er noe som forsømmes ofte, men som bør og skal gjøres i mange tilfelle. Her kan mal for personvernvurderinger lastes ned.
Fortsett å lese Risikovurdering for behandling av personopplysninger – personvernvurderingStikkord: risikovurdering
Behandlingsoversikt (protokoll etter GDPR artikkel 30)
Etter personvernforordningen (GDPR) artikkel 30 skal det lages en protokoll over hvilken behandling av personopplysninger som skjer i en virksomhet. Selv om kravet om å lage protokoll i utgangspunktet gjelder virksomheter med mer enn 250 ansatte, er det omfattende unntak som gjør at kravet om å føre protokoll omfatte stort sett alle virksomheter (som også er anbefalt bl.a. av Datatilsynet). En annen ting er at det er anbefalt å lage en oversikt over behandlingen gjennom en slik protokoll for å få kontroll på behandlingen. De fleste virksomheter bør derfor lage en slik protokoll.
Fortsett å lese Behandlingsoversikt (protokoll etter GDPR artikkel 30)
Om risikovurdering er påkrevd før anskaffelser av it-tjenester med Helse Sør-Øst-saken som eksempel
Datatilsynet varslet i forrige uke ni helseforetak om bøter på kr 800.000 per foretak (dvs. bøter på totalt kr 7,2 millioner), bl.a. Helse Sør-Øst (Datatilsynet har fjernet siden med informasjon av denne saken i ettertid av en eller annen grunn). Bøtene ble gitt på grunnlag av at helseforetakene bl.a. ikke hadde foretatt tilstrekkelig risikovurderinger før beslutning om it-tjenestene for foretakene skulle outsources, at ledelsen i foretakene ikke var tilstrekkelig involvert i beslutninger som ble fattet og at personopplysningene ikke var tilstrekkelig sikret.