Gå til innhold

Nå trer GDPR i kraft i Norge

NTB - digi

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
HrKristian

HrKristian

Skrevet
Skrevet

Helt konge.

 

Noen bedrifter har forsøkt seg på kvasi-compliance med GDPR, for eksempel GuleSider-appen som nekter deg tilgang om du ikke godkjenner vilkårene deres om deling av informajsonen din.

 

Det er på tide internett returnerer til en sunn standard igjen. Og jeg sier det som både app- og web-utvikler.

  • Liker 3
Lenke til kommentar
The Very End

The Very End

Skrevet
Skrevet (endret)

Idiotisk. Alt for mye formaliteter og flisespikkeri. Det burde ha vært mulig å gjøre dette mye enklere.

 

GDPR er ikke så ille, problemet er statiske mennesker i lederstillinger som ikke evner å måtte omstille seg og bedriften. GDPR er ikke tekniske utfordringer men en leder utfordring. Utfordringene er i hovedsak å begrunne hvorfor man trenger dataene og på samme tid ha en større transparent/åpenhet ut mot offentligheten.

 

Og ps: det har siden 2016 vært klart at dette kommer, bedriftene hadde mer enn nok tid til å lese seg opp og forstå hva endringene innebar og plassere seg deretter. Når en nå hører om alle som sliter bør det ringe noen varsellamper om bedriftenes seriøsitet.

Endret av The Very End
  • Liker 1
Lenke til kommentar
The Very End

The Very End

Skrevet
Skrevet

Lederstillinger... F.eks. et enmannsforetak for grøftegraving og maling, som jobber 30%, har ikke noen "lederstillinger". At vedkommende skal ha masse papirarbeid med GDPR fordi han behandler personopplysninger (navn og tlf på kunder), er idioti.

 

Det er overhode ikke noe ekstra arbeid om en ikke samler noen informasjon. Altså, man har det som kalles gjensidig samtykke eller legitim interesse (husker ikke), som betyr at om en person henvender seg til din butikk for å kjøpe en vare, skal dette kunne gjøres uten at noe spesielt samtykke må samles inn eller lagres. Skal du f.eks levere noe i post kan du da lagre post opplysningene uten at det fører til noen papirmølle, da kunden har tatt kontakt med deg og man med rimelighet forstår at adressen trengs for å levere tjenesten / varen.

 

Så nei, små bedrifter som bare skal selge noen enkle varer og tjenester vil ikke nevneverdig bli nedlesset av mer arbeid - med mindre dem er sleipe og skal forsøke å prakke på deg masse reklame eller gi info om deg som kunde til sine samarbeidspartnere. Da trer GDPR mer i kraft og man må følge visse regler knyttet til samtykke osv.

Lenke til kommentar
HrKristian

HrKristian

Skrevet
Skrevet (endret)

Lederstillinger... F.eks. et enmannsforetak for grøftegraving og maling, som jobber 30%, har ikke noen "lederstillinger". At vedkommende skal ha masse papirarbeid med GDPR fordi han behandler personopplysninger (navn og tlf på kunder), er idioti.

Det blir ikke noe mer papirarbeid nå enn det var før.

 

Før GDPR:

Et foretak som lagrer personopplysninger må sende inn meldeskjema om dette til Datatilsynet.

Slik var det og slik er det fortsatt. 

 

Et foretak som vil lagre sensitive personopplysninger må sende inn søknadsskjema om dette til Datatilsynet, og få det godkjent.

Slik var det og slik er det fortsatt.

 

Nytt med GDPR:

Et foretak som lagrer personopplysninger må informere brukeren om dette.

Opplysninger som er nødvendig for tjenesten foretaket tlbyr er brukeren nødt til å godkjenne for å bruke tjenesten.

Opplysninger som ikke er nødvendig for tjenesten foretaken tilbyr, skal brukeren ha rett til å nekte innsamling av uten å miste tilgang på tjenesten.

 

Ønsker foretaken å dele opplysninger om en bruker til tredjeparter må brukeren informeres eksplisitt om dette.  

Om delingen er kritisk for tjenesten er det igjen nødvendig at bruker godkjenner for å bruke tjenesten.

Om delingen ikke er kritisk for tjenesten skal igjen bruker ha rett til å nekte deling av data uten å miste tilgang på tjenesten.

 

En bruker skal i tillegg ha "rett til å bli glemt" på hvilket som helst tidspunkt. De øvrige punktene gjelder for dette også.

Det vil si at om bruker ønsker å stoppe deling av ikke-kritiske opplysninger skal dette skje uten å miste tilgang.

Det vil også si at om bruker ønsker alle opplysninger slettet generelt skal dette foretas, men brukeren mister da tilgang på tjenesten.

 

Konsekvensen av GDPR for dette hypotetiske (eller reelle?) foretaket du tar for deg er dette:

Om en kunde kontakter foretaket og ønsker opplysingene foretaket har på kunden slettet, må de slettes.

 

Som du sikkert forstår er det ikke stort av papirarbeid involvert.

 

[Redigert] Ps. Om for eksempel en kunde hyrer en rørlegger, og oppgir adresse etc, så er det implisitt at kunden er informert om lagringen av adressen, navn osv.  

Endret av HrKristian
  • Liker 1
Lenke til kommentar
Emancipate

Emancipate

Skrevet
Skrevet

Som du sikkert forstår er det ikke stort av papirarbeid involvert.

Det er overhode ikke noe ekstra arbeid om en ikke samler noen informasjon..

Det er papirarbeid selv om det ikke kreves samtykke for å behandle opplysningene...

 

Ta en titt her: https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/

 

- Før behandling av personopplysninger, må det fastsettes et skriftlig formål.

 

- Må identifiesere behandlingsgrunnlaget for dataopplysningene på forhånd.

 

- Det skal føres protokoll over all databehandling (https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/protokoll-over-behandlingsaktiviteter/).

 

- Skal bedriften bruke et regnskapsprogram på nettet, der opplysninger om kunde (som f.eks. navn) er med, noe jeg antar er pliktig, som f.eks. Visma, må bedriften ha en databehandleravtale med Visma.

 

- Det skal finnes rutiner for å varsle datatilsynet (?) ved sikkerhetsbrudd.

 

- For å påse at alt dette finnes, må man ha internkontroll (https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/etablere-internkontroll/).

Lenke til kommentar
HrKristian

HrKristian

Skrevet
Skrevet

 

Som du sikkert forstår er det ikke stort av papirarbeid involvert.

Det er overhode ikke noe ekstra arbeid om en ikke samler noen informasjon..

Det er papirarbeid selv om det ikke kreves samtykke for å behandle opplysningene...

 

Ta en titt her: https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/

 

- Før behandling av personopplysninger, må det fastsettes et skriftlig formål.

 

- Må identifiesere behandlingsgrunnlaget for dataopplysningene på forhånd.

 

- Det skal føres protokoll over all databehandling (https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/protokoll-over-behandlingsaktiviteter/).

 

- Skal bedriften bruke et regnskapsprogram på nettet, der opplysninger om kunde (som f.eks. navn) er med, noe jeg antar er pliktig, som f.eks. Visma, må bedriften ha en databehandleravtale med Visma.

 

- Det skal finnes rutiner for å varsle datatilsynet (?) ved sikkerhetsbrudd.

 

- For å påse at alt dette finnes, må man ha internkontroll (https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/etablere-internkontroll/).

Dette er ikke noe nytt som kom med GDPR, det har vært slik lenge.

 

Det nye er at du nå er ansvarlig for opplysningene du gir fra deg. Som er så jævlig på tide, for å sitere professoren min i informasjonssikkerhet.

  • Liker 1
Lenke til kommentar
HrKristian

HrKristian

Skrevet
Skrevet

Det er jo bare enda en "jeg aksepterer"-knapp man må trykke på. Og trykker man ikke kommer man ikke inn. Så for å i det hele tatt komme inn så må man akseptere at hvem enn det er som står for sidene eier alt du skriver og gjør.

 

Less innlegget mitt lenger opp. Det du sier er fullstendig feil.

 

Det er to typer datainnsamling med GDPR:

Datainnsamling kritisk for tjenesten

Datainnsamling til sekundære formål

 

Godtar du ikke innsamling av data kritisk for tjenesten får du ikke tilgang på den.

Godtar du ikke innsamling av data til sekundære formål skal du likevel ha tilgang på tjenesten.

 

Sekundære formål er for eksempel salg av informasjonen din til tredjeparter. Det er for eksempel deling av informasjonen din til Facebook.

 

Sider som gjør det vanskelig å administrere dette bryter faktisk også med GDPR.

GDPR slår fast at administrasjon skal være enkelt og forståelig for brukeren. Brudd på dette vil medfølge bøter.

 

Har siden for eksempel en stor grønn knapp med "JEG AKSEPTERER", samtidig som de gjemmer bort administrasjon bak flere lag med kryptiske sider, er dette ULOVLIG.

  • Liker 1
Lenke til kommentar
The Very End

The Very End

Skrevet
Skrevet

 

Det er jo bare enda en "jeg aksepterer"-knapp man må trykke på. Og trykker man ikke kommer man ikke inn. Så for å i det hele tatt komme inn så må man akseptere at hvem enn det er som står for sidene eier alt du skriver og gjør.

 

Less innlegget mitt lenger opp. Det du sier er fullstendig feil.

 

Det er to typer datainnsamling med GDPR:

Datainnsamling kritisk for tjenesten

Datainnsamling til sekundære formål

 

Godtar du ikke innsamling av data kritisk for tjenesten får du ikke tilgang på den.

Godtar du ikke innsamling av data til sekundære formål skal du likevel ha tilgang på tjenesten.

 

Sekundære formål er for eksempel salg av informasjonen din til tredjeparter. Det er for eksempel deling av informasjonen din til Facebook.

 

Sider som gjør det vanskelig å administrere dette bryter faktisk også med GDPR.

GDPR slår fast at administrasjon skal være enkelt og forståelig for brukeren. Brudd på dette vil medfølge bøter.

 

Har siden for eksempel en stor grønn knapp med "JEG AKSEPTERER", samtidig som de gjemmer bort administrasjon bak flere lag med kryptiske sider, er dette ULOVLIG.

Av nysgjerrighet- hva tenker du om en helt 73&÷€× (sett inn masse banneord) løsningen nå til Vg og co?

 

Ps: bra med oppegående folk som deg som beriker debatten - hilsen person som hadde bachelor oppgave rundt GDPR!

Lenke til kommentar
Gjest Slettet-Z9Cy2AAy

Gjest Slettet-Z9Cy2AAy

Skrevet
Skrevet

En ting som er fint er at flere tjenester nå gjør det lettere for deg å slette kontoen din. Det burde jo være standard å kunne slette sin egen konto på et nettsted.

Lenke til kommentar
HrKristian

HrKristian

Skrevet
Skrevet

Av nysgjerrighet- hva tenker du om en helt 73&÷€× (sett inn masse banneord) løsningen nå til Vg og co?

 

Ps: bra med oppegående folk som deg som beriker debatten - hilsen person som hadde bachelor oppgave rundt GDPR!

 

Antar at VG har samme løsning som Aftenposten da de begge er eid av Schibsted?

 

Ærlig talt vet jeg ikke hva jeg skal synes, og det er vel muligens også grunn til å mene den er shitty.

 

Tilsynelatende er det enkelt nok å nekte bruk av personlige opplysninger. Jeg går inn på kontoen og huker av det jeg ikke ønsker (jeg har godtatt bruk i forbindelse med optimalisering av siden samt kundeservice.)

 

Men Schibsted sentralt er derimot et mareritt. De "outsourcer" behandlingen av GDPR-compliance til denne YourOnlineChoices-tjenesten som bare straight up ikke fungerer.

 

Spørsmålet er rett og slett, når jeg har valgt å ikke godkjenne på Aftenposten, blir data da ikke delt til Schibsted (som igjen videreformidler til deres ...106 "partnere"? 

For om data ikke blir samlet og videresendt på Aftenposten bryr det meg svært lite om dette ikke tar effekt på f.eks VG (som er en annen tjeneste, og som jeg ikke bruker.)

 

Og takk :)

  • Liker 1
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...