Gurusoft og ny personvernforordning (GDPR)

Fra 25. mai 2018 gjelder nye og strengere krav til behandling av personopplysninger.

«Privacy by design!» eller «Privacy by default!» oppsummerer på mange måter de prinsipper som gjelder for behandling av personopplysninger!

GDPR står for The General Data Protection Regulation og er EUs lovverk for personvern. Dette lovverket blir innført som norsk lov med virkning fra 25. mai 2018. GDPR er

  • (i) en generell forordning (lov) om vern av personopplysninger ved behandling og overføring av disse
  • (ii) et direktiv som skal regulere myndighetenes behandling av personopplysninger i straffesaker

Den hurtige digitale utfordringen skaper utfordringer rundt personvern. GDPR forbedrer beskyttelsen av personers rettigheter og tydeliggjør hva selskaper som behandler personopplysninger må gjøre for å beskytte disse rettighetene. Dere kan lese mer om forordningen på Datatilsynets nettsider.

Gurusoft er positive til GDPR! Personvern og datasikkerhet er noe Gurusoft har snakket varmt om siden oppstart og det har lagt føringer både for vår produktutvikling og våre leveranser. Eksempelvis har vi satt krav til å benytte anerkjente sikkerhetssertifikater (SSL) i våre nettsider/nettbutikker.

Kunde er ansvarlig

GDPR stiller flere krav og dere våre kunder er selv ansvarlige for personvern og sikkerhet i nettbutikken. Gurusoft har rollen som databehandler.

Overfor brukerne kreves det åpenhet om følgende personopplysninger:

  • hvilken personinformasjon som lagres
  • hvilke systemer personinformasjon deles med
  • hvor lenge lagres personinformasjon, ev. kriterier som bestemmer lagringstid
  • hvordan hente ut lagret personinformasjon
  • hvordan slette personinformasjon

Krav til samtykke, som også kan trekkes tilbake, er et av flere krav:

  • vurdere risiko og personvernkonsekvenser – før bruk
  • plikt til å identifisere risikoreduserende tiltak
  • informert samtykke og god grunn til å lagre personopplysninger
  • samtykke kan trekkes tilbake
  • kunde skal kunne hente ut personopplysninger (dataportabilitet)
  • kunde skal kunne kreve sletting av personopplysninger
  • eventuelle brudd på GDPR er straffbare med bøter

Gurusoft og GDPR

Gurusoft har gjort flere tiltak for å bevare personvern og høy sikkerhet. Blant annet er sikkerhetssertifikat (SSL) standard på våre nettsteder og passord er enveiskryptert. I tillegg har vi kommersiell programvare, som gir full kontroll på sikkerhet, datalagring og kommunikasjon.

Personinformasjon vi lagrer:

  • Fornavn, etternavn
  • Kontaktinformasjon som mobil, e-post og adresse(r)
  • IP-adresser som del av ordreinfo
  • Handlelister og favoritter som viser hva en bruker er interessert i
  • Opplysninger om hva du handler (ordrehistorikk)
  • Klikk i 3 måneder som del av loggsystemer

Gurusoft tiltak i forbindelse med GDPR:

  • Oppdatere våre interne rutinebeskrivelser
  • Bygge GDPR og “Privacy by design / privacy by default” inn i våre løsninger
  • Mal for kundeinformasjon i våre nettsider/nettbutikker
  • Utvikle støtte for at brukere av våre skytjenester enkelt kan slå opp og hente ut personinformasjon
  • Krav om å melde fra om vi får instrukser på tvers av loven fra kunder

Kommersiell programvare = kontroll på sikkerhet, datalagring og kommunikasjon.

Hva skal jeg som kunde gjøre?

Det aller viktigste dere som kunde gjør er å gå gjennom alle applikasjoner/systemer dere benytter og lage en oversikt over hvilke personopplysninger dere lagrer og hva de faktisk brukes til. Videre må dere gjennomgå de enkelte systemer med tanke på de kravene som er listet opp ovenfor og konkludere med nødvendige tiltak som må iverksettes.

Lykke til, og ta kontakt med Gurusoft hvis dere har spørsmål til våre løsninger.