What is data privacy?

Data privacy refers to the protection and proper management of sensitive and personal information collected from individuals by organisations, ensuring that it is not shared, accessed or used inappropriately or without the consent of the data owner.

How long can personal data be stored?

The length of time personal data can be stored depends on the purpose for which it was collected. In general, it should not be kept for longer than necessary. Data controllers should have a data retention policy outlining how long different types of data will be kept.

Who can have access to personal data?

Only individuals or organizations who have a legitimate reason to access personal data, such as employers, healthcare providers, or law enforcement agencies, can do so. Data protection laws also require them to ensure the data is kept secure and not used for any other purposes without consent.

Norsk

Tilbake til bloggen

6 min read

Hva er personvern? 5 tips for bedre personvern

By: Mary-Ann Eriksson GDPR | 18 januar

Personvern handler om å sørge for at data kun brukes til det tiltenkte formålet. Med fremveksten av Internett har bekymringene rundt personvern økt, ettersom tilgang til og bruk av personopplysninger har blitt en integrert del av mange organisasjoner. I dette blogginnlegget skal vi se nærmere på hvorfor personvern er viktig, og presentere noen eksisterende personvernlover.Vi vil også gi noen nyttige tips til hvordan du kan forbedre ditt eget personvern - enten det er privat eller som organisasjon.

Hva er personvern?

Det finnes dessverre ingen allment akseptert definisjon av personvern. Dette skyldes at personvern er et svært komplekst tema. Det kan imidlertid forstås som at det dreier seg om riktig håndtering av sensitive data. Personvern fokuserer vanligvis på personopplysninger, det vil si all informasjon som er knyttet til en identifisert eller identifiserbar person. Dette kan være alt fra navn og personnummer til opplysninger om hvor du befinner deg, eller til og med fysiske kjennetegn. Men personvern kan også omfatte andre data, for eksempel konfidensielle opplysninger eller immaterielle rettigheter. I praksis er personvern knyttet til tre forhold:

Hvorvidt eller hvordan data deles med tredjeparter

Hvordan data samles inn og lagres
Overholdelse av personvernlover (f.eks. GDPR)

Det er viktig å huske på at personvern er basert på troen på at enkeltpersoner har rett til å være i fred og ha kontroll over egne data:

Hvordan personopplysningene deres blir samlet inn
Hvor mye av personopplysningene deres som samles inn

Hvordan personopplysningene deres blir brukt

På samme måte som du kanskje ikke ønsker at noen skal overhøre en privat samtale, er det mange som ikke ønsker at visse opplysninger om dem skal samles inn eller deles med ukjente tredjeparter. Det er derfor viktig å forstå hvilke personopplysninger deter greit å samle inn, og hvem som skal ha tilgang til personopplysningene.

Hvorfor er personvern viktig for din organisasjon?

Mange steder blir personvern sett på som en menneskerett, og mange land behandler i dag personvern som en juridisk rettighet. Det var av denne grunn at personvernlover først ble opprettet. Personvernlover har som mål å beskytte retten til privatliv og hjelpe enkeltpersoner med å beholde kontrollen over personopplysningene sine.

Men i tillegg til at personvernet betraktes som en menneskerettighet og en lovfestet rettighet, har de fleste også sine egne forventninger til hvordan personvernet deres skal respekteres. Disse forventningene vil selvsagt variere fra person til person. Men alle kan kjenne seg igjen i at de ønsker at noe av deres personlige informasjon skal forbli privat og ikke være offentlig tilgjengelig for alle. Detkan for eksempel dreie seg om informasjon om politiske synspunkter eller personlig helsehistorikk.

Åpenhet om hvordan organisasjonen din samler inn og håndterer data og etterlever personvernerklæringene dine, er derfor avgjørende for å bygge tillit hos kundene og sørge for at kundenes personopplysninger forblir trygge. Visste du for eksempel at en av de største kostnadene ved et datainnbrudd for organisasjoner er tap av virksomhet? Det er forståelig nok fordi mange kunder mister tilliten til en organisasjon etter et datainnbrudd.

Hvordan kan du balansere alt dette?

Det kan være utfordrende for organisasjoner å balansere sitt eget ønske om å bruke personopplysninger med det å måtte leve opp til enkeltpersoners forventninger til hvordan informasjonen deres skal behandles. Det er derfor svært viktig at organisasjonen utarbeider egne retningslinjer for akseptabel bruk og jobber aktivt med personvern for å finne den rette balansen. Et godt utgangspunkt for dette er å vurdere personvernlovgivningen.

4 personvernlover du bør kjenne til

I den senere tid har myndigheter over hele verden vedtatt lover som regulerer hvilke data som kan samles inn, og hvordan de kan brukes, lagres og deles. Og det er sannsynlig at det vil komme enda flere i fremtiden. Men hvilke lover er det viktigst å kjenne til akkurat nå?

General Data Protection Regulation (GDPR) er en personvernlovgivning som er opprettet av EU. Dette er den mest omfattende loven om databeskyttelse som finnes. GDPR regulerer hvordan opplysninger om innbyggere i EU-land kan samles inn, lagres og behandles. Personvernforordningen gir forbrukerne visse rettigheter i forhold til opplysningene sine, samtidig som den pålegger selskapene somoppbevarer opplysningene, et sikkerhetsansvar.
California Consumer Privacy Act (CCPA) er en personvernlov som beskytter innbyggerne i delstaten California i USA. CCPA krever at forbrukerne gjøres oppmerksomme på hvilke personopplysninger som samles inn om dem. CCPA gir også forbrukerne kontroll over personopplysningene sine.
Nasjonale personvernlover er svært vanlige. Mange land rundt om i verden har sin egen personvernlovgivning, for eksempel Brasils General Law for the Protection of Personal Data og Storbritannias Data Protection Act. Noen av disse nasjonale lovene ligner på personvernforordningen.
I noen land finnes det ogsåbransjespesifikke personvernlover. Et eksempel på dette er Health Insurance Portability and Accountability Act (HIPAA) i USA.

Ingen av lovene som er nevnt her, gir en klar definisjon av hva de mener med personvern. Så hva betyr dette for organisasjonen din? I utgangspunktet bør du vurdere å gå lenger enn det som forventes av lovene for å sikre at datapraksisen din er i samsvar med dem.

Hva er konsekvensene av manglende overholdelse?

Manglende overholdelse av personvernlovene kan få alvorlige konsekvenser for organisasjonen din. De fleste personvernlover krever at organisasjoner må betale store bøter eller straffegebyrer hvis de håndterer sensitive data feil. Manglende overholdelse av GDPR kan for eksempel koste organisasjonen opptil 4% av den årlige omsetningen.

Men i tillegg til de potensielt store kostnadene kan manglende overholdelse også ha en negativ effekt på organisasjonens omdømme og evnen til å beholde kundenes tillit. Husk at kundene vanligvis har sine egne forventninger til hvordan personopplysningene deres skal behandles, og manglende overholdelse av personvernlovgivningen er et sikkert tegn på at disse forventningene ikke vil bli innfridd.

Selv om det er svært viktig å kjenne til personvernlovene, bør organisasjoner også vite hva som regnes som personvern,og hva som ikke gjør det.

Forstå forskjellen - datasikkerhet vs. personvern

For å hjelpe deg med dette vil vi se nærmere på en vanlig forvirring rundt personvern og datasikkerhet. Det er ikke rart at mange forveksler personvern med sikkerhet. Men selv om datasikkerhet og personvern kan virke veldig like, er de to begrepene ikke det samme og bør ikke brukes om hverandre. For å forstå hvorfor, la oss bruke et øyeblikk på å definere de to begrepene for å finne ut hva somer forskjellen.

Definisjon av personvern

Personvern fokuserer på enkeltpersoners rettigheter når det gjelder deres personopplysninger. Det handler om de retningslinjene og prosedyrene organisasjonen din bruker når den håndterer personopplysninger. Dette omfatter innsamling og lagring av data, unngåelse av uautorisert tilgang til data og overholdelse av personvernlover. Hvordan sørger organisasjonen din for eksempel for at dere bare samler inn data som dere har lovlig rett til? Og hvordan håndterer dere disse dataene når de først er inne i organisasjonen?

Definisjon av datasikkerhet

Kjernen i datasikkerhet er de metodene organisasjonen bruker for å beskytte sensitive data som dere allerede sitter på. Det er de tiltakene som iverksettes for å forhindre uautorisert tilgang til digitale data fra tredjeparter eller ondsinnede angrep. Det handler også om hvordan organisasjonen forhindrer utnyttelse av data når de først er stjålet.

Hva er viktigst for deg å vurdere?

Både datasikkerhet og personvern er viktig for organisasjoner. For å sikre personvernet må du også ha en sunn sikkerhetsholdning, ellers vil du ikke være i stand til å etablere beste praksis for håndtering av sensitive data. Kort sagt er databeskyttelse ikke mulig uten datasikkerhet.

Selv om datasikkerhet teknisk sett ikke er avhengig av personvern, er det likevel i organisasjonens interesse å forsikre seg om at dataene du beskytter, er samlet inn på lovlig vis og ikke er i strid med personvernlovgivningen.

Av disse grunnene er det vanskelig å si at det ene er viktigere enn det andre. Snarere er de som to brikker i et puslespill som til sammen skaper et sterkere fundament for beskyttelse og håndtering av data.

5 tips for å forbedre personvernet ditt

Nå som vi vet at personvern kan betraktes som en individuell rettighet, og at personvern er en av de største utfordringene for organisasjonen når det gjelder vellykket datahåndtering, skal vi ta en titt på noen nyttige tips og teknologier du kan bruke for å forbedre personvernet.

Opplæring av ansatte i personvern. Dette trinnet er viktig for å sikre at alle ansatte i organisasjonen er klar over personvern og personvernhensyn. Dette kan oppnås gjennom bevissthetsopplæring. Bevisstgjøringsopplæringen vil gi organisasjonen en sterk cybersikkerhetskultur som sikrer beste praksis for håndtering av sensitive data.
Forebygging av datatap (DLP). Dette er løsninger som vanligvis omfatter verktøy som hjelper deg med å unngå at data blir stjålet, går tapt eller slettes ved et uhell. Kort sagt bidrar DLP til at sensitive data forblir der de skal være.
To-faktor autentisering. Denne teknologien er nyttig for både vanlige brukere og organisasjoner. Den gjør det mye vanskeligere for nettkriminelle å få tilgang til personlige kontoer.
Krypterte lagringsløsninger, VPN-er og passordadministratorer. Alt dette er verktøy som er lett tilgjengelige og enkle å bruke for både privatpersoner og organisasjoner. De kan utgjøre en stor forskjell i forsvaret ditt mot dataangrep.

Sterke passord. Selv med verktøy som tofaktorautentisering og passordadministratorer er det alltid viktig å bruke sterke passord. For å hjelpe deg med dette har vi laget en guide til hvordan du lager et sterkt passord du kan huske.

Konklusjon

I dette blogginnlegget har vi belyst hvorfor personvern er viktig, og presentert noen av de viktigste personvernlovene du bør kjenne til. Vi har også gitt en kort forklaring på forskjellen mellom datasikkerhet og personvern, slik at du vet hvordan du skal holde de to begrepene fra hverandre i fremtiden. Til slutt har vi gitt deg noen nyttige tips til hvordan du kan jobbe med personvern for å sikre at du respekterer enkeltpersoners rett til privatliv, samtidig som du overholder personvernlovene.

CyberPilot publiserer mye innhold om GDPR, bevissthetstrening og cybersikkerhet. Hvis du er nysgjerrig på å lese mer om hvordan din organisasjon kan jobbe for å bli GDPR-kompatibel, bygge en sterkere cybersikkerhetskultur eller jobbe aktivt med bevissthetstrening, har CyberPilot mange nyttige artikler på bloggsiden vår.

Folk spurte også

Hva er personvern?

Personvern handler om beskyttelse og forsvarlig håndtering av sensitiv og personlig informasjon som organisasjoner samler inn fra enkeltpersoner, og som sikrer at denne informasjonen ikke deles, åpnes eller brukes på upassende måter eller uten samtykke fra dataeieren.

Hvor lenge kan personopplysninger lagres?

Hvor lenge personopplysninger kan lagres, avhenger av formålet de ble samlet inn for. Generelt bør de ikke oppbevares lenger enn nødvendig. Behandlingsansvarlige bør ha retningslinjer for datalagring som beskriver hvor lenge ulike typer opplysninger skal oppbevares.

Hvem kan få tilgang til personopplysninger?

Bare personer eller organisasjoner som har en legitim grunn til å få tilgang til personopplysninger, for eksempel arbeidsgivere, helsepersonell eller politimyndigheter, kan gjøre dette. Personvernlovene krever også at de sørger for at opplysningene oppbevares sikkert og ikke brukes til andre formål uten samtykke.

Back to blog