Privacybeleid

1. Over het privacybeleid
2. Verantwoordelijkheid voor de verwerking van persoonlijke gegevens door ons
3. Kennis van de regels voor persoonlijke gegevens
4. In kaart brengen van de verwerking van persoonlijke gegevens
5. Basisvereisten voor de verwerking van persoonlijke gegevens
6. Redenen voor het verwerken van persoonlijke gegevens
   1. Basis voor verwerking
   2. Werknemers
   3. Voormalige werknemers
   4. Werkzoekenden
   5. Contactpersonen bij leveranciers
   6. Contactpersonen bij zakelijke klanten
   7. Andere contactpersonen
7. Grondslag voor de verwerking van gevoelige persoonlijke gegevens
8. Informatie voor betrokkenen (privacybeleid)
9. Rechten van betrokkenen
10. Verwijdering van persoonlijke gegevens
11. Functionaris voor gegevensbescherming
12. Algemene risicobeoordeling
13. Informatiebeveiliging
14. Afwijkingen, analyse van afwijkingen en corrigerende maatregelen
15. Aankoop van IT-diensten - overeenkomsten voor gegevensverwerking
16. Inbreuk op de beveiliging van persoonlijke gegevens
17. Effectbeoordeling en voorafgaand overleg met de Noorse autoriteit voor gegevensbescherming
18. Controle, bijwerking en herziening van het document

1. Over het privacybeleid

Het doel van dit document is om ons te helpen voldoen aan de Wet Persoonsgegevens van 2018. Het zal ook helpen om aan te tonen dat onze verwerking van persoonsgegevens voldoet aan de wet.

2. Verantwoordelijkheid voor de verwerking van persoonsgegevens door ons

Het bedrijf is verantwoordelijk voor de persoonsgegevens die het verwerkt, bijvoorbeeld van zijn eigen werknemers, contactpersonen bij klanten en leveranciers, particuliere klanten en andere zakelijke relaties. Het bedrijf is verantwoordelijk voor het naleven van de verplichtingen die voortvloeien uit de regels voor persoonsgegevens.

Ståle Haugland is verantwoordelijk voor de dagelijkse verwerking

3. Kennis van de regels voor persoonsgegevens

We moeten ervoor zorgen dat de relevante werknemers bekend zijn met de regels voor persoonsgegevens, inclusief dit document over gegevensbescherming. Het kennisniveau moet worden aangepast aan de verwerking van persoonsgegevens door de individuele werknemer. We zullen beoordelen of bepaalde groepen werknemers gespecialiseerde kennis nodig hebben, zoals HR-functies en IT-managers. Ons management moet altijd op de hoogte zijn van de regelgeving.

4. In kaart brengen van de verwerking van persoonsgegevens

We moeten alle verwerkingen van persoonsgegevens in kaart brengen. Dit moeten we doen in een apart formulier waarin we onder andere de categorieën van betrokkenen, het doel van de verwerking, hoe we de gegevens verwerken en de grondslag voor de verwerking aangeven. De formulieren helpen ons te voldoen aan de regels voor de verwerking van persoonsgegevens.

5. Basisvereisten voor de verwerking van persoonsgegevens

In de wet zijn zes gronden vastgelegd die van toepassing zijn op alle verwerkingen van persoonlijke gegevens. We moeten ervoor zorgen dat persoonlijke gegevens:

1. worden verwerkt op een rechtmatige, eerlijke en transparante manier ten aanzien van de betrokkene ("rechtmatigheid, eerlijkheid en transparantie")
2. Het doel van dit document is om ons te helpen voldoen aan de Wet Persoonsgegevens van 2018. Het zal ook helpen om aan te tonen dat onze verwerking van persoonsgegevens voldoet aan de wet.
3. adequaat, relevant en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt ("gegevensminimalisatie")
4. nauwkeurig zijn en, waar nodig, worden bijgewerkt; alle redelijke maatregelen moeten worden getroffen om persoonsgegevens die, uitgaande van de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren ("nauwkeurigheid")
5. zodanig worden opgeslagen dat de betrokkenen niet langer kunnen worden geïdentificeerd dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor de persoonsgegevens worden verwerkt ("opslagbeperking")
6. worden verwerkt op een wijze die passende beveiliging van de persoonsgegevens waarborgt, met inbegrip van bescherming tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging, door middel van passende technische of organisatorische maatregelen ("integriteit en vertrouwelijkheid")

Als persoonsgegevens worden gebruikt voor andere doeleinden dan waarvoor ze zijn verzameld, zie punt 2 hierboven, zullen we altijd beoordelen of het nieuwe of gewijzigde doel verenigbaar is met het oorspronkelijke doel. We moeten dan rekening houden met de factoren in artikel 6, lid 4, van de Algemene Verordening Gegevensbescherming.

6. Grondslag voor de verwerking van persoonsgegevens

1. Basis voor verwerking

We hanteren ten minste een van de volgende grondslagen voor alle verwerkingen van persoonsgegevens:

1. de betrokkene heeft ingestemd met de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden
2. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of om op verzoek van de betrokkene vóór het sluiten van een overeenkomst maatregelen te nemen
3. de verwerking is noodzakelijk om een wettelijke verplichting na te komen waaraan de voor de verwerking verantwoordelijke is onderworpen
4. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de voor de verwerking verantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is (belangenafweging)

De basis(s) waarop we gegevens verwerken moet(en) duidelijk blijken uit het mappingformulier. Als de grondslag voor de verwerking de toestemming van de betrokkene is (zie nr. 1), moeten we ons op de hoogte stellen van de speciale regels die gelden voor dergelijke toestemmingen, inclusief de documentatievereisten. Als de basis voor de verwerking ons legitieme belang is (belangenafweging) (zie nr. 4), moeten we de afweging specifiek en schriftelijk documenteren, zie hieronder.

2. Werknemers

De verwerking van gegevens is voornamelijk gebaseerd op wettelijke verplichtingen. Een deel van de verwerking is ook gebaseerd op een belangenafweging. We moeten documenteren dat we wettelijke en contractuele verplichtingen zijn nagekomen nadat deze zijn nagekomen. We hebben ook documentatie nodig voor personeelsadministratie om te gebruiken in toekomstige personeelsadministratie. Dit zijn legitieme belangen. Het is niet mogelijk om op een andere manier toegang te krijgen tot de gegevens dan door ze op te slaan. De verwerking is daarom noodzakelijk.

Onze werknemers hebben een doorlopende contractuele relatie met ons. De persoonlijke gegevens die we verwerken zijn gekoppeld aan deze contractuele relatie. Dit is grotendeels informatie die werknemers aan ons hebben verstrekt. De informatie heeft betrekking op zaken die waarschijnlijk door een werkgever worden verwerkt.

Wij zijn van mening dat het legitieme belang voorrang heeft op de belangen van de werknemer.

3. Voormalige werknemers

De verwerking van de meeste persoonlijke gegevens is gebaseerd op een belangenafweging. Het kan nodig zijn dat we personeelszaken documenteren, zelfs nadat de arbeidsrelatie is beëindigd, zoals een geschil met de voormalige werknemer. Dit kan bijvoorbeeld van toepassing zijn om te documenteren dat wij als werkgever onze verplichtingen onder de wetgeving of de arbeidsovereenkomst zijn nagekomen. Dit is een legitiem belang. Het is niet mogelijk om op een andere manier toegang te krijgen tot de informatie. De verwerking is daarom noodzakelijk.

De gegevens worden maximaal twaalf maanden bewaard. We kunnen informatie over het vorige dienstverband van de werknemer, de duur van de arbeidsrelatie en werktaken langer bewaren. De gegevens worden niet aan anderen verstrekt zonder verzoek van de voormalige werknemer, bijvoorbeeld in verband met de beoordeling van een dienstverband bij een nieuwe werkgever.

Wij zijn van mening dat het legitieme belang zwaarder weegt dan de belangen van de voormalige werknemer.

4. Werkzoekenden

De verwerking van persoonlijke gegevens is gebaseerd op een belangenafweging. We moeten informatie gebruiken om sollicitaties van sollicitanten te beoordelen. Dit is een gerechtvaardigd belang. Het is niet mogelijk om een sollicitatie te beoordelen zonder persoonsgegevens te verwerken. Verwerking is daarom noodzakelijk.

We vragen sollicitanten om ons ten minste informatie te sturen over hun naam, opleiding, werkervaring, referenties, enz. Sollicitanten zullen vaak aanvullende persoonlijke gegevens verstrekken die zij relevant achten voor de beoordeling van hun sollicitatie, zoals contactgegevens, familierelaties en interesses. Tijdens sollicitatiegesprekken stellen we vragen om te bepalen of de sollicitant geschikt is voor de functie. In sommige gevallen kunnen we hiervoor tests of vragenlijsten gebruiken. Als het relevant wordt om de sollicitant in dienst te nemen, kunnen we om aanvullende informatie en documentatie vragen voor informatie die we al hebben ontvangen. Het verstrekken van informatie is vrijwillig.

We gebruiken de informatie voor niets anders dan het beoordelen van de aanvraag. Wij verstrekken de informatie aan niemand anders. We kunnen informatie van sollicitanten gedurende zes maanden bewaren voor het geval sollicitanten vinden dat hun rechten niet zijn vervuld.

Wij zijn van mening dat legitieme belangen zwaarder wegen dan de belangen van de werkzoekende.

5. Contactpersonen bij leveranciers

De verwerking van persoonlijke gegevens is gebaseerd op een belangenafweging. We moeten in contact blijven met onze leveranciers om onder andere aanbiedingen, bestellingen en leveringen op te volgen. Dit is een gerechtvaardigd belang. Dat contact wordt alleen effectief door rechtstreeks contact op te nemen met personen. De verwerking is daarom noodzakelijk.

De verwerking vindt plaats in verband met de werkgever van de contactpersoon die leverancier bij ons wil zijn. Naast namen verwerken we contactgegevens, zoals telefoonnummer, e-mailadres en werkgever, die allemaal primair gekoppeld zijn aan de werkrelatie van de contactpersoon en niet aan diens privéleven. De reikwijdte van de gegevens is zeer beperkt. De verwerking van de gegevens is gerelateerd aan de zakelijke activiteiten van de leverancier en niet aan het privéleven van de contactpersoon. Onze verwerking van de persoonsgegevens is duidelijk voorzienbaar voor de contactpersoon.

Wij zijn van mening dat het legitieme belang zwaarder weegt dan de belangen van de contactpersoon.

6. Contactpersonen bij zakelijke klanten

De verwerking van persoonlijke gegevens is gebaseerd op een belangenafweging. We moeten in contact blijven met onze zakelijke klanten om aanbiedingen, bestellingen en leveringen op te volgen. Dit is een gerechtvaardigd belang. Dat contact wordt alleen effectief door rechtstreeks contact op te nemen met personen. De verwerking is daarom noodzakelijk.

De verwerking vindt plaats in relatie tot de werkgever van de contactpersoon, die een klant van ons is. Naast namen verwerken we algemene informatie, zoals telefoonnummer, e-mailadres en werkgever, die allemaal primair gekoppeld zijn aan de dienstbetrekking van de contactpersoon. De reikwijdte van de gegevens is daarom beperkt. De verwerking van de gegevens is gekoppeld aan de zakelijke activiteiten van de leverancier en niet aan het privéleven van de contactpersoon. Wanneer toestemming vereist is onder de Marketingwet, zal de contactpersoon ook toestemming hebben gegeven voordat we marketinge-mails versturen. Onze verwerking van persoonsgegevens is duidelijk voorzienbaar voor de contactpersoon.

Wij zijn van mening dat het legitieme belang zwaarder weegt dan de belangen van de contactpersoon.

7. Andere contactpersonen

De verwerking van persoonsgegevens is gebaseerd op een belangenafweging. We moeten contact onderhouden met overheidsinstanties, zoals de NAV en toezichthoudende instanties in verband met publiekrechtelijke aangelegenheden waarbij we mogelijk verplichtingen en rechten hebben. Dit is een gerechtvaardigd belang. In sommige gevallen zal deze communicatie alleen effectief zijn als we rechtstreeks contact kunnen opnemen met individuen. Verwerking is daarom noodzakelijk.

7. Grondslag voor de verwerking van gevoelige persoonsgegevens

Voor de verwerking van gevoelige persoonsgegevens is een extra verwerkingsgrondslag nodig naast de in punt 6 genoemde.

Gevoelige persoonsgegevens zijn: informatie over ras of etnische afkomst, politieke opvattingen, religie, geloofsovertuiging of lidmaatschap van een vakbond, evenals genetische gegevens en biometrische gegevens om een natuurlijke persoon uniek te identificeren, gezondheidsgegevens of gegevens over het seksleven of de seksuele geaardheid van een natuurlijke persoon.

Als we dergelijke gegevens verwerken, moeten we ervoor zorgen dat we een grondslag hebben voor de verwerking. Voor onze werknemers is met name informatie over gezondheid en vakbondslidmaatschap relevant. Gezondheid omvat bijvoorbeeld ziekte en blessures en het verzuim als gevolg hiervan. Een bijzonder relevante grondslag voor de verwerking is dat de verwerking noodzakelijk is in de hoedanigheid van werkgever, bijvoorbeeld in verband met de follow-up van en rapportage aan overheidsinstanties of de organisatie van de arbeidsrelatie.

De verwerking van informatie over strafbare feiten en overtredingen van de wet, enz. is onderworpen aan speciale regels waarmee we ons vertrouwd moeten maken als we dergelijke informatie verwerken.

8. Informatie aan betrokkenen (privacybeleid)

We zullen wettelijke informatie verstrekken aan betrokkenen. We verstrekken deze informatie in een privacyverklaring. Alle betrokkenen moeten toegang hebben tot de informatie die op hen van toepassing is. We verstrekken informatie aan werknemers in een werknemershandboek of vergelijkbaar document.

De informatie moet onder andere bevatten: de naam van het bedrijf en contactgegevens, het doel van de verwerking, de categorieën van persoonsgegevens, ontvangers van persoonsgegevens (indien bekendgemaakt), informatie over de eventuele bekendmaking van persoonsgegevens aan andere landen, hoe lang de persoonsgegevens zullen worden opgeslagen, het recht van de betrokkenen om te verzoeken om toegang tot, rectificatie of verwijdering van persoonsgegevens, hoe het bedrijf toegang heeft gekregen tot de persoonsgegevens en de mogelijkheid om een klacht in te dienen bij de Noorse gegevensbeschermingsautoriteit.

Als de betrokkene een kind is, zullen we in het bijzonder overwegen hoe goede informatie kan worden verstrekt.

9. Rechten van betrokkenen

We beantwoorden vragen van betrokkenen zonder onnodige vertraging. Als we dergelijke vragen ontvangen, moeten deze worden gericht aan Ståle Haugland

We zorgen ervoor dat betrokkenen hun rechten bij ons kunnen uitoefenen.

10. Wissen van persoonlijke gegevens

We zullen persoonlijke gegevens zonder onnodige vertraging verwijderen wanneer ze niet langer "noodzakelijk" zijn voor het doel waarvoor ze zijn verzameld of verwerkt. We zullen dit minstens één keer per jaar herzien. Ons verwijderingsbeleid staat hieronder of op het kaartformulier.

Werknemers

Als algemene regel geldt dat we alle informatie gedurende het dienstverband bewaren. Werknemers kunnen verzoeken om informatie te verwijderen. Dit wordt per geval beoordeeld. Wetgeving kan een langere bewaarperiode voorschrijven.

Voormalige werknemers en werkzoekenden

Zie hierboven over de verwerkingsgrondslag voor deze categorieën. De wetgeving kan een langere bewaartermijn vereisen dan hier wordt vermeld.

Contactpersonen bij leveranciers en klanten

We verwijderen de gegevens wanneer we merken dat de contactpersoon de leverancier of klant heeft verlaten of dat de leverancier of klant een nieuwe contactpersoon heeft aangesteld. Hetzelfde geldt wanneer de relatie met de leverancier of klant is beëindigd.

We kunnen de gegevens echter langer bewaren als we denken dat dit nodig is om het contact dat we met de leverancier of klant hebben gehad te documenteren. Dit kan bijvoorbeeld van toepassing zijn op vragen over rechten of plichten in de contractuele relatie met de leverancier of klant. Ook de wetgeving kan een langere bewaarperiode voorschrijven.

Andere contactpersonen

We verwijderen de gegevens wanneer we ons realiseren dat de persoon niet langer relevant is voor onze behoeften, inclusief wanneer de persoon het bedrijf, de overheidsinstantie, enz. verlaat.

We kunnen de gegevens echter voor een langere periode bewaren als we van mening zijn dat het nodig kan zijn om het contact met de persoon of de werkgever van de persoon te documenteren. Dit kan bijvoorbeeld van toepassing zijn op vragen over rechten of plichten in contractuele, publiekrechtelijke of andere zaken.

11. Functionaris voor gegevensbescherming

We hebben beoordeeld of de Algemene Verordening Gegevensbescherming vereist dat ons bedrijf een functionaris voor gegevensbescherming heeft.

We hebben geen of zeer weinig natuurlijke personen als klant. We controleren de betrokkenen niet regelmatig en systematisch op grote schaal. Voor de meeste categorieën van betrokkenen verwerken we over het algemeen algemene persoonsgegevens zoals naam, adres, werkgever, e-mailadres, telefoonnummer, enz. We verwerken enkele gevoelige gegevens van werknemers.

We zijn tot de conclusie gekomen dat ons bedrijf niet verplicht is om een functionaris voor gegevensbescherming te hebben.

12. Algemene risicobeoordeling

We zullen de verwerking van persoonsgegevens op risico's beoordelen. Op basis van deze beoordeling kunnen we bepalen welke beveiligingsmaatregelen we moeten implementeren.

De beoordelingen hebben betrekking op de waarschijnlijkheid en de ernst (het risico) van schade aan de "rechten en vrijheden" van individuen, zoals fysieke schade, schade aan eigendommen of bezittingen en medische schade. Voorbeelden van schade zijn discriminatie, identiteitsdiefstal, reputatieschade, verlies van sociale waardering, onbevoegde bekendmaking van vertrouwelijke informatie en onaanvaardbare inbreuk op de privacy.

Het mapping-formulier laat zien dat we:

• verwerken grotendeels alleen algemene contactgegevens, zoals naam, adres, werkgever, e-mailadres, telefoonnummer, enz.
• informatie over werknemers verwerken die gebruikelijk is voor de administratie van personeelszaken, inclusief naleving van wettelijke verplichtingen
• weinig of geen particuliere klanten hebben
• verwerkt geen informatie over kinderen
• Informatie verwerkt die deel uitmaakt van het uitvoeren van gewone bedrijfsactiviteiten

We zijn nog nooit het slachtoffer geweest van een datalek. We zijn ons er ook niet van bewust dat buitenstaanders interesse hebben getoond in de persoonlijke gegevens die we verwerken. We geloven daarom dat het onwaarschijnlijk is dat de informatie is blootgesteld aan inbreuken.

Gezien de aard en omvang van de gegevens die we verwerken, denken we dat de gevolgen van niet-naleving niet ernstig zullen zijn.

Bij sommige informatie over werknemers is zowel de waarschijnlijkheid als de ernst van regelovertredingen veel groter. Daarom hebben we aparte routines voor het verwerken van dergelijke informatie, inclusief het beperken van de toegang ertoe.

We moeten risicobeoordelingen maken van veranderingen die van invloed kunnen zijn op de informatiebeveiliging, bijvoorbeeld wanneer we nieuwe IT-diensten aanschaffen.

De resultaten van risicobeoordelingen moeten worden goedgekeurd door de persoon die in de organisatie de dagelijkse verantwoordelijkheid draagt voor de verwerking.

13. Informatiebeveiliging

Wij zijn wettelijk verplicht om passende technische en organisatorische maatregelen te nemen om een beveiligingsniveau te bereiken dat is afgestemd op het risico dat gepaard gaat met onze verwerking van persoonsgegevens. We moeten dan rekening houden met de stand van de techniek, de implementatiekosten en de aard, de omvang en het doel van de verwerking, evenals de context waarin deze wordt uitgevoerd.

Onze risico's worden in algemene termen beoordeeld in het gedeelte hierboven.

Tegen deze achtergrond hebben we deze maatregelen geïmplementeerd:

• We hebben iemand aangesteld die speciaal verantwoordelijk is voor het waarborgen van de veiligheid: Ståle Haugland
• Er moet worden voorkomen dat onbevoegden toegang krijgen tot persoonlijke gegevens of de apparatuur waarop deze zijn opgeslagen,
• Het netwerk van de organisatie moet worden beschermd tegen indringers van externe netwerken met een firewall die alleen noodzakelijk dataverkeer doorlaat,
• Het netwerk van de organisatie moet worden beschermd tegen ongeoorloofd gebruik, bijvoorbeeld door draadloze netwerken te beveiligen.
• Er moeten extra maatregelen worden genomen voor informatie die bijzonder beschermenswaardig is, zoals ziekteverlof, informatie over de organisatie van de werkplek, beoordelingen van de werknemer, opmerkingen en waarschuwingen.
• Medewerkers moeten worden getraind in het gebruik van het IT-systeem van de organisatie.

14. Non-conformiteiten, analyse van non-conformiteiten en maatregelen om ze te verhelpen

We moeten vaststellen of de verwerking van persoonsgegevens voldoet aan de regels in de Wet Persoonsgegevens en de procedures in dit document. Als dit niet het geval is, moeten we uitzoeken hoe we de naleving kunnen verbeteren. We moeten schriftelijk vastleggen welke afwijkingen we hebben geconstateerd en wat we hebben gedaan om deze te corrigeren.

In het mappingsformulier kunnen de antwoorden op vraag 15 een overzicht geven van de afwijkingen voor elke categorie registranten. Degene die het formulier invult, moet Ståle Haugland op de hoogte stellen van dergelijke afwijkingen. De persoon die de afwijking ontdekt, moet onmiddellijk actie ondernemen als dat nodig is om aanzienlijke overlast of gevolgschade te beperken of te voorkomen. De persoon die de melding ontvangt, moet eerst beoordelen of onmiddellijke actie noodzakelijk is. Vervolgens moet hij of zij ervoor zorgen dat er maatregelen worden genomen om te voorkomen dat de afwijking zich opnieuw voordoet.

Als blijkt dat de procedures niet voldoende zijn aangepast aan ons bedrijf, moeten we overwegen om de procedures te wijzigen, zie hoofdstuk 18.

15. Aankoop van IT-diensten - overeenkomsten gegevensverwerking

Normaal gesproken treden we op als gegevensbeheerder wanneer de organisatie IT-diensten afneemt van een serviceprovider. We zijn er dan nog steeds verantwoordelijk voor dat de wetgeving voor gegevensbescherming wordt nageleefd wanneer we IT-diensten afnemen, zoals HR-oplossingen of klantendatabases/CRM.

Voordat we IT-diensten inkopen, moeten we daarom onder andere beoordelen of de leverancier voldoet aan de beveiligingseisen van de Wet bescherming persoonsgegevens (artikel 32). Gerenommeerde leveranciers kunnen vaak documenteren dat ze aan de eisen voldoen. We moeten er ook voor zorgen dat we een gegevensverwerkingsovereenkomst sluiten die regelt hoe de gegevensverwerker omgaat met de persoonsgegevens die hij van ons ontvangt en namens ons verwerkt. Leveranciers zullen vaak hun eigen overeenkomsten hebben die voldoen aan de vereisten van de regelgeving.

Als de serviceprovider persoonlijke gegevens doorgeeft aan landen buiten de EU/EER, moet daar een rechtsgrondslag voor zijn. hier een wettelijke basis voor is. 

16. Inbreuk op de beveiliging van persoonlijke gegevens

In het geval van een inbreuk op de beveiliging van persoonlijke gegevens (zoals een hackeraanval of verlies van persoonlijke gegevens), zullen we onmiddellijk contact opnemen met de Noorse gegevensbeschermingsautoriteit om te zien wat we moeten doen.

"Inbreuk in verband met persoonsgegevens" betekent een inbreuk die resulteert in een accidentele of onwettige vernietiging, verlies, wijziging, niet-geautoriseerde vrijgave van of toegang tot persoonsgegevens die wij verwerken.

In het geval van bepaalde inbreuken op de beveiliging van persoonsgegevens moeten we de Noorse Autoriteit Gegevensbescherming en soms ook de betrokkene op de hoogte brengen. Kennisgeving aan de Noorse Autoriteit Gegevensbescherming moet onmiddellijk plaatsvinden, en niet later dan 72 uur nadat we ons bewust zijn geworden van de inbreuk. Het is niet nodig om de Noorse Autoriteit Gegevensbescherming in kennis te stellen als het onwaarschijnlijk is dat de inbreuk in verband met persoonsgegevens zal leiden tot een risico voor de rechten van personen. Een voorbeeld hiervan is wanneer een inbreuk op de beveiliging heeft geleid tot ongeautoriseerde toegang tot persoonsgegevens die al openbaar zijn.

We zijn verplicht om de betrokkene op de hoogte te stellen als het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens zal leiden tot hooi risico voor de rechten en vrijheden van personen. Wij zijn van mening dat onze verwerking van persoonsgegevens slechts bij uitzondering tot dergelijke risico's kan leiden.

We moeten inbreuken op de beveiliging van persoonlijke gegevens documenteren. Dit doen we door de feitelijke omstandigheden van de inbreuk te beschrijven ("Wat is er gebeurd?"). Daarnaast moeten we de gevolgen van de inbreuk beschrijven en welke maatregelen zijn genomen om de inbreuk te verhelpen. Met deze documentatie kan de Noorse autoriteit voor gegevensbescherming controleren of de organisatie heeft voldaan aan de vereisten van de wet.

17. Beoordeling van de gevolgen voor de persoonlijke levenssfeer en voorafgaand overleg met de Noorse gegevensbeschermingsautoriteit

We zijn verplicht om een privacyeffectbeoordeling uit te voeren wanneer we van plan zijn om persoonsgegevens te verwerken die waarschijnlijk een hoog risico inhouden voor de rechten van personen, zoals het recht op privacy. Bij de beoordeling of een dergelijke beoordeling nodig is, moeten we rekening houden met de aard, de omvang, de context en de doeleinden van de verwerking. Er moet ook rekening worden gehouden met het gebruik van nieuwe technologie.

Er zijn verschillende soorten gevallen waarin het nodig is om de gevolgen voor de persoonlijke levenssfeer te beoordelen: Systematische en uitgebreide beoordeling van persoonlijke omstandigheden wanneer de gegevens worden gebruikt voor geautomatiseerde beslissingen, verwerking van gevoelige persoonsgegevens op grote schaal of systematische surveillance van openbare ruimten op grote schaal.

In bovenstaande gevallen zullen we ons op de hoogte stellen van de speciale regels die van toepassing zijn, waaronder het feit dat de Noorse Autoriteit Gegevensbescherming soms betrokken moet worden bij voorbereidende besprekingen.

18. Controle, bijwerking en herziening van het document

We zullen dit document regelmatig bijwerken en herzien. De reden hiervoor is onder andere dat de regels in wet- en regelgeving kunnen worden gewijzigd, onze verwerking van persoonsgegevens kan worden gewijzigd of ervaring kan uitwijzen dat we onze routines moeten aanpassen. Om dezelfde redenen zullen we ook regelmatig de formulieren die de verwerking van persoonsgegevens in kaart brengen, herzien en bijwerken.

Ståle Haugland is er verantwoordelijk voor dat de behoefte aan wijzigingen en herzieningen wordt geïdentificeerd en opgenomen in het document en het formulier. Dit moet jaarlijks gebeuren.

De evaluatie moet bijvoorbeeld de volgende vragen bevatten:

• Hebben we sinds de laatste controle de verwerking van persoonsgegevens gewijzigd (nieuw, gewijzigd of beëindigd) die niet in het document of in de formulieren wordt behandeld?
• Betekenen de zes basisvereisten voor de verwerking van persoonsgegevens dat we onze procedures of praktijken moeten veranderen?
• Zijn er sinds de laatste audit nieuwe wetten of regels van kracht geworden die veranderingen vereisen?
• Heeft de organisatie sinds de laatste audit andere verbeterpunten ontdekt in het document of de formulieren?
• Is er nieuwe technologie ontwikkeld waarmee persoonlijke gegevens beter kunnen worden beveiligd?