Personvern

Alle virksomheter som setter ut hele eller deler av behandlingen av personopplysninger til andre virksomheter, for eksempel gjennom anskaffelse av et kundesystem, er pliktige til å inngå en databehandleravtale. En databehandleravtale er en avtale mellom den behandlingsansvarlige virksomheten og databehandler om hvordan personopplysninger skal behandles.  

Når en databehandleravtale skal inngås er det ofte databehandleren selv som foreslår sin mal for databehandleravtale som kan brukes. Mange virksomheter syntes det imidlertid er vanskelig å vurdere kvaliteten denne avtalen, eller å få full oversikt over risikoen og de praktiske virkningene av innholdet i avtalen. Vi i BDO har lang erfaring i å bistå små og store virksomheter med juridisk rådgivning knyttet til databehandleravtaler.  

Hvilke krav til personvern som bør reguleres i en databehandleravtale kan til tider være vanskelig å forstå. For mange virksomheter er det også svært kapasitetskrevende da databehandleravtaler er særavtaler som ofte krysser landegrenser og angår virksomheter i forskjellige land. Med lang erfaring og et av Norges største personvernteam kan BDO bistå i utarbeidelsen av en databehandleravtale som er særlig tilpasset din virksomheten. BDO kan også bistå deg i kontraktsforhandlinger i møte med større internasjonale selskaper. 

Hvorfor er dette relevant for deg? 

Alle virksomheter bør ha nødvendige prosesser, kompetanse og kapasitet for å sikre nødvendig inngåelse av databehandleravtaler. Ved å skreddersy databehandleravtalen, enten gjennom bistand ved forhandlinger eller ferdig levert databehandleravtale, kan vi sørge for at din bedrifts arbeid med personvern ivaretas på mest mulig effektiv og kostnadsbesparende måte.  

Hva kan BDO hjelpe deg med?

• Utarbeidelse og inngåelse av databehandleravtaler 
• Rådgivning knyttet til oppfølging av databehandleravtaler 
• Kvalitetssikring av databehandleravtaler 
• Kontraktsforhandlinger om avtalevilkår i databehandleravtaler 

En etterlevelseskontroll, eller en revisjon fra oss, kan hjelpe din virksomhet med å avdekke forbedringsområder i virksomhetens etterlevelse av personvernregelverket, og med å prioritere det fremtidige arbeidet.  

Mange virksomheter bruker mye tid på å utarbeide et styringssystem (også kalt internkontroll) for å sikre etterlevelse av personvernregelverket og for å kunne dokumentere sin egen etterlevelse. Denne tiden er imidlertid kun verdifull dersom styringssystemet er egnet til å ivareta alle relevante krav i personvernregelverket og dersom det faktisk etterleves. Vi i BDO har bred erfaring med å gjennomføre etterlevelseskontroller og revisjoner for å hjelpe virksomheter med å undersøke nettopp dette.  

Hvorfor bør din virksomhet investere i etterlevelseskontroller og revisjoner? 

En etterlevelsekontroll eller en revisjon gjennomført av en ekstern part som BDO er nyttig for å avdekke forbedringsområder ved virksomhetens etterlevelse av personvernregelverket som virksomheten kanskje ikke har sett selv. Resultatet av en etterlevelseskontroll, eller en revisjon, er også godt egnet til å prioritere det videre arbeidet på personvernområdet slik at virksomheten kan bruke tiden og ressursene sine på en effektiv måte. Videre kan resultatet av en etterlevelseskontroll, eller revisjon fra en ekstern part, være et viktig hjelpemiddel for å løfte viktige problemstillinger og risikoer til ledelsen. 

Hva kan BDO hjelpe deg med? 

Personvernregelverket er risikobasert, og det er derfor viktig at en etterlevelseskontroll, eller en revisjon, også tar hensyn til den risikoen som virksomheten står ovenfor. BDO har bred erfaring med å bistå både store og små virksomheter i en rekke ulike sektorer på personvernområdet, og er derfor godt egnet til å gjennomføre en etterlevelseskontroll eller revisjon som er tilpasset akkurat din virksomhet. 

Vi kan bistå deg med å:  

• Gjennomgå din virksomhets styringssystem for å sikre at alle relevante krav i personvernregelverket er ivaretatt 
• Undersøke din virksomhets praktiske etterlevelse av virksomhetens styringssystem 
• Avdekke forbedringsområder og hjelpe din virksomhet med å prioritere det fremtidige arbeidet på personvernområdet  

God personvernkultur og forståelse for kravene i personvernregelverket, er avgjørende for at din virksomhet lykkes med personvern. Opplæring av ansatte er avgjørende for implementeringen av personvern i virksomheten. Uten dette får virksomheten lite igjen for å utarbeide styringssystem og rutiner for personvern. 

Hvilke opplæringsaktiviteter trenger din virksomhet? 

Kravene i personvernregelverket beskrives ofte som vanskelige å forstå og utfordrende å oppfylle. Vi ser at dette ofte preger både opplæringsprogrammer og virksomheters kultur. Vi er opptatt av å kartlegge hvilke krav som er relevante for forskjellige deler av virksomheten. Dette gjør at vi kan spisse budskapet og unngå å overøse ansatte med informasjon om krav med begrenset relevans for deres arbeid. 

Hvordan hjelper BDO virksomheter med opplæring og personvernkultur? 

Vi har god erfaring med å tilby skreddersydde opplæringsprogrammer og workshops for våre kunder. Vi bruker et enkelt språk og praktiske eksempler, gjerne om aktiviteter i virksomheten. Vårt mål er at dine ansatte skal forstå hva personvern egentlig er og hvilke oppgaver hver enkelt ansatt skal ivareta. 

Vi kan blant annet tilby: 

• Foredrag 
• Kartlegging av kompetansebehov og utvikling av opplæringsplan 
• Workshops og dilemmatrening 
• Standardiserte e-læringskurs i personvern (tilpasset små- og mellomstore virksomheter med begrenset personvernrisiko) 
• Skreddersydde e-læringskurs for mer komplekse virksomheter 

All behandling av personopplysninger medfører ulike grader av risiko. Risikoen kan være knyttet til både virksomheten og den enkelte det behandles personopplysninger om.  

For å redusere risikoene knyttet til behandlingen av personopplysninger stiller personvernforordningen (GDPR) krav til å gjennomføre risiko- og personvernkonsekvensvurderinger (DPIA). Mange virksomheter er imidlertid ikke klar over at risikovurderinger og DPIA skal gjennomføres før personopplysninger behandles og før et nytt informasjonssystem tas i bruk. Mange er heller ikke klar over at risikovurderinger og DPIA skal gjennomføres ved endringer i behandlingen, informasjonssystem eller trusselbilde. Vi i BDO har lang erfaring med å sikre at virksomheter har rutiner og prosesser på plass for gjennomføring av risikovurderinger knyttet til personvern.  

Hvorfor investere i dette? 

Arbeidet med risikovurderinger for personvern er en del av virksomhetens risikostyring, som igjen er en del av den overordnede virksomhetsstyringen. Gjennomføring av risikovurderinger for personvern er avgjørende for at virksomheten skal håndtere risikoene knyttet til personopplysningene som behandles. Gjennomføring av risikovurderinger for personvern bidrar også til å sikre at virksomheten jobber effektivt med personvernarbeidet i virksomheten og når sine mål.  

Alle virksomheter bør i utgangspunktet ha en formalisert prosess for gjennomføring av risikovurderinger. For små virksomheter vil det derimot i enkelte tilfeller ikke være naturlig å ha en slik formalisert prosess. BDO har kunder i alle størrelser med ulike behov, og hjelper deg med å tilpasse prosesser og rutiner for gjennomføring av risikovurderinger til din virksomhet.  

Hvilke tjenester kan denne tjenesten hjelpe meg med som kunde? 

Gjennomføring av risikovurderinger og DPIA hjelper deg gjennom hele behandlingens levetid. Det være seg hele anskaffelsesprosessen og det å stille riktige personvernkrav til informasjonssystemene som skal understøtte behandlingen av personopplysninger, til det å kunne forutse hvor det er størst risiko for brudd på personopplysningssikkerheten og hvilke sikringstiltak som kan iverksettes for å motvirke dette. 

Hva kan BDO hjelpe deg med? 

• Utarbeide og vedlikeholde systematiske risikovurderinger for personvern og DPIA 
• Anbefale nødvendige risikoreduserende tiltak for å opprettholde et forsvarlig sikkerhetsnivå ved behandlingen 
• Utarbeide prosesser og rutiner for gjennomføring av risikovurderinger og DPIA 

Europa har gjennom EU’s generelle personvernforordning (GDPR) et strengt regelverk for beskyttelse av personopplysninger, der overføring av personopplysninger til land utenfor EU/EØS (tredjeland) er ulovlig med mindre man oppfyller nærmere bestemte vilkår.  

Det å lykkes med personvern forutsetter en god oversikt over personopplysningene som behandles i din virksomhet, herunder også kunnskap om når behandlingen innebærer en overføring av personopplysninger til tredjeland. Overføringsreglene vil for eksempel komme til anvendelse der virksomheten har tatt i bruk en skytjeneste med datasenter i Kina, der ansatte i et datterselskap har fjerntilgang til den norske virksomhetens personopplysninger, eller der du har kjøpt en «on-premises»-løsning, men med en avtale om teknisk støtte fra personell i India. Vi i BDO har lang erfaring med å hjelpe virksomheter med å etterleve personvernregelverket ved overføring av personopplysninger til tredjeland.  

For å overføre personopplysninger lovlig til tredjeland, må man som et utgangspunkt ha et lovlig overføringsgrunnlag, som for eksempel standard personvernbestemmelser vedtatt i EU-kommisjonen (SCCs) eller bindende konsernregler i virksomheten (BCR). Som et tilleggskrav må den behandlingsansvarlige virksomheten som en hovedregel også gjennomføre en Transfer Impact Assessment (TIA).  

En TIA innebærer:  

• Kartlegging av hvilke personopplysninger som overføres til tredjelandet  
• Fastsetting av det spesifikke overføringsgrunnlaget  
• Vurdering av beskyttelsesnivået i tredjelandet, herunder overvåkingslovene og mekanismene som kan utgjøre en trussel for personvernet  
• Foreslå supplerende tiltak og ta endelig stilling til risikoen som overføringen av personopplysningene innebærer. 

BDO har bred og lang erfaring med å bistå både store og små virksomheter i en rekke ulike sektorer på personvernområdet, og kan bistå deg i alle ledd og prosesser for å sikre lovlig overføring til tredjeland.  

Hvorfor investere i dette? 

Mange virksomheter uttrykker stor bekymring og usikkerhet til hvordan de skal håndtere overføringsreglene i praksis. Dette siden arbeidet med å sikre lovlig overføring av personopplysninger både er kapasitets- og tidskrevende, og som kan ta fokus bort fra mye annet viktig personvernarbeid. Med hjelp fra BDO får du juridisk ekspertise og kan sikre virksomhetens overføringer på en lovlig, effektiv og kostnadsbesparende måte.  

Arbeidet er relevant for alle virksomheter som på en eller annen måte overfører personopplysninger til tredjeland. Har du ikke dette på plass kan din virksomhet risikere både omdømmetap og bøter fra Datatilsynet. En slik overføring kan også få store konsekvenser for den du behandler personopplysninger om.  

Hva kan BDO hjelpe deg med?  

• Kartlegge virksomhetens behandling og overføring av personopplysninger til tredjeland, for å sikre at alle relevante krav i personvernregelverket er ivaretatt   
• Vurdere hvilket overføringsgrunnlag som er best egnet for virksomheten 
• Utarbeide og tilpasse nødvendige overføringsgrunnlag for virksomheten, som standard personvernbestemmelser vedtatt i EU-kommisjonen (SCC), samt bindende konsernregler i virksomheten (BCR)  
• Gjennomføre Transfer Impact Assessments (TIA) tilpasset din bedrift, herunder sikre praktisk etterlevelse av reglene om tilstrekkelig beskyttelsesnivå ved overføring av personopplysninger til tredjeland  
• Avdekke forbedringsområder og hjelpe din virksomhet med å prioritere det fremtidige arbeidet på personvernområdet.   
• Holde kurs, foredrag og workshops om temaet  

Personvernforordningen stiller krav til den behandlingsansvarliges ansvar. Dette innebærer å gjennomføre egnede tekniske og organisatoriske tiltak for å påvise at personopplysninger behandles i samsvar med forordningen. Kravet forstås ofte som et krav om å ha gode rutiner og internkontroll (styringssystem) for personvern.  

Et godt styringssystem med tilhørende rutiner er essensielt for å sikre og dokumentere lovlig behandling av personopplysninger. Ettersom personvernregelverket reiser en rekke problemstillinger, og er i kontinuerlig utvikling, kan det for mange virksomheter være krevende å få oversikt over reglene og utarbeide gode rutiner på området. Vi i BDO har lang erfaring i å utarbeide personvernrutiner og styringssystem for personvern for virksomheter av ulik størrelse. BDO har også lang erfaring med å tilpasse personvernrutiner til allerede eksisterende styringssystem, for på den måten å sikre en rød tråd i virksomhetens arbeid med personvern.  

Et godt utarbeidet styringssystem inneholder gjerne tre hovedelementer: 

• Styrende elementer (overordnede policyer og føringer for personvern) 
• Gjennomførende elementer (rutiner og retningslinjer for den nærmere behandlingen av personopplysninger) 
• Kontrollerende elementer (dokumentasjon for logger og avvik) 

BDO har lang erfaring med å utarbeide slike dokumenter for virksomheter i ulike størrelser, vi tilpasser også dokumentasjonen for virksomheter i ulike bransjer.   

Dersom dere ønsker et helhetlig styringssystem som dekker flere fagområder tilbyr BDO både etablering og integrering av dette. Vi har blant annet god erfaring med å lage felles styringssystem for personvern og informasjonssikkerhet, å etablere og integrere personvern i kombinasjon med styringssystem for anti-hvitvask, samt etablere styringssystem for pasientsikkerhet og kvalitet i ved ytelse av helsetjenester.  

Hvorfor investere i dette? 

Et godt styringssystem er tilpasset virksomhetens risikovurdering og fanger opp relevante personvernrettslige problemstillinger. Et skreddersydd styringssystem med tilhørende rutiner vil bidra til å redusere risikoene virksomheten står overfor.  

Hva kan BDO hjelpe deg med? 

• Utarbeide og kvalitetssikre styringssystem og rutiner for behandling av personopplysninger 
• Utarbeide helhetlig styringssystem som dekker flere fagområder (personvern, informasjonssikkerhet, anti-hvitvask, pasientsikkerhet etc.) 
• Kartlegge virksomhetens behandling av personopplysninger og utarbeide protokoll over behandlingsaktiviteter