Procano tar personvern på alvor

Procano tar personvern på alvor: Nye personvernregler angår alle våre kunder

“Ny lovgivning på bakgrunn av EUs personvernforordning (GDPR) medfører strengere krav til alle virksomheter som lagrer og behandler personopplysninger” sier Jørgen Berg, Adm. Dir i Procano AS.

Den nye personopplysningsloven trådte i kraft 20. juli 2018, i melding fra Regjeringen. Den nye loven har store konsekvenser for alle offentlige og private norske bedrifter og stille større krav og ansvar i forhold til hvordan virksomheten samler inn, behandler og sletter personopplysninger. I praksis er alle virksomheter med leverandører, ansatte og kunder berørt av den nye loven.

“Arbeidet med ny personvernlovgivning hadde ingen frist som utløp da loven trådte i kraft – det vil jobbes på bred front i alle norske virksomheter, med å styrke personvernet både før og i lang tid etterpå» sier Jørgen Berg, Adm. Dir i Procano AS. Procano startet arbeidet med tilpasning til GDPR høsten 2017 og det er en kontinuerlig prosess å sikre tilfredsstillende behandling av personopplysninger.

Databehandleravtale

Procano er for tiden compliant med GDPR og våre avtaler, tjenester og prosesser bidrar til at også våre kunder følger de nye reglene. Én av konsekvensene av den nye personvernlovgivningen er at det alltid skal foreligge en databehandleravtale der en behandlingsansvarlig benytter en databehandler. Nærmest uten unntak er Procano en slik databehandler for våre kunder. Avtalen er en frittstående avtale som kommer i tillegg til de generelle kundeavtalene og loven inneholder i artikkel 28 en rekke absolutte krav til innholdet i databehandleravtaler. Procano har grunnet samsvar med “best practice” utarbeidet databehandleravtaler siden april 2014. Advokatselskaper har vært toneangivende og i flere år gjort krav om databehandleravtaler når de har outsourcet IT-tjenester. Nå har Procano revidert databehandleravtalen i en versjon av 2. mai 2018. «Tidligere inngikk vi slike avtaler der kunden anmodet om det» forklarer Christian O. Breivik, Viseadm. Dir. i Procano. «Når dette nå er påbudt ved lov kommer vi til å bli langt mer proaktive overfor våre kunder. Vi inngår for eksempel ikke nye kundeavtaler, uten at det samtidig signeres en databehandleravtale. Forøvrig vil vi påpeke at det langt fra er nok å ha slike avtaler med en databehandler signert. Behandlingsansvarlige har et selvstendig ansvar og finner nok fort ut at de trenger noe bistand og/eller kursing for å få innsikt og oversikt. Et godt sted å starte for å forstå omfanget for din virksomhet, er å bruke Datatilsynets veileder og føre såkalt “protokoll over egne behandlingsaktiviteter”» avslutter Breivik.

Personvernombud

Den nye personopplysningsloven vil medføre at mange virksomheter har en plikt til å oppnevne et personvernombud. Personvernombudets hovedoppgave er å sikre at den behandlingsansvarlige følger personvernlovgivningen. På Datatilsynets nettsider finner du en egen samleside med informasjon om personvernombudsordningen.

«Først og fremst er det viktig for oss å ligge i forkant og synliggjøre at vi tar personvern på alvor. Vi har nå opprettet en kontaktperson for alle interne og eksterne saker som omhandler personvernet» sier Jørgen Berg, Adm. Dir i Procano AS. I rollen som personvernrådgiver falt valget på Christian O. Breivik, ansatt i Procano siden 2007. «Christian var et naturlig valg på bakgrunn av hans formelle kompetanse, integritet, forståelse for behandling av personopplysninger på tvers av Procano og evne til å gjøre gode, etiske vurderinger» avslutter Jørgen Berg.

Kontaktpersonen for personvern i Procano har blant annet følgende arbeidsoppgaver:

  • Informere og gi råd om forpliktelsene som følger av personvernlovgivningen.
  • Kontrollere overholdelsen av personvernlovgivningen og eventuelt internt regelverk.
  • Gjennomføre holdningsskapende tiltak og opplæring av personellet som behandler personopplysninger.
  • Gi råd om vurderingen av personvernkonsekvenser og kontrollere gjennomføring av tiltak for å styrke personvernet.
  • Samarbeide med og fungere som kontaktpunkt for Datatilsynet og andre offentlige myndigheter.
  • Rapportere direkte til høyeste ledelsesnivå hos virksomheten.
  • Rådgiveren er pålagt en særegen taushetsplikt.