EUs personvernforordning: 5 implikasjoner for utskriftsbransjen

Personvernforordningen (General Data Protection Regulation – GDPR) trådde i kraft 25. mai 2018. Hvis organisasjonen din behandler personopplysninger om EUs innbyggere, må du overholde forordningen eller risikere straff på opptil EUR 20 millioner, eller 4 % av den årlige globale omsetningen.

Hva betyr den nye forordningen for utskriftsbransjen? Her er fem viktige startpunkter::

1. Forstå “datakontroller” og “databehandler”
Det første trinnet for alle virksomheter i utskriftsbransjen er å forstå om de klassifiseres som datakontroller eller databehandler. Begge har forpliktelser ifølge den nye forordningen. En “datakontroller” avgjør formålet med og hvordan personopplysninger skal behandles (for eksempel en bank) og en “databehandler” behandler personopplysningene på vegne av kontrolleren (for eksempel en utskriftsvirksomhet).

Organisasjoner uansett klassifisering kan være nødt til å utpeke et personvernombud. Personvernombudet vil jobbe sammen med andre avdelinger, og oppgavene vil være å overvåke overholdelse av forordningen, gi råd og informasjon organisasjonen og de ansatte om deres forpliktelser og fungerer som et kontaktpunkt for tilsynsmyndigheter og enkeltpersonene hvis data behandles.

2. Oppføringer med databehandlingsaktiviteter
Ifølge den nye forordningen må både datakontrollere og databehandlere vedlikeholde oppføringer med databehandlingsaktiviteter og gjøre disse oppføringene tilgjengelige for tilsynsmyndighet på anmodning.

Hvordan skal databehandlere spore dataflyten? En måte kan være å utføre datakartleggingsoppgaver som gir en omfattende oversikt over dataene som innsamles, behandles og oppbevares, og som sporer dataflyten blant forretningsenheter og underbehandlere eller tredjeparter. Disse kartleggingsoppgavene må også gjentas når det oppstår endringer i måten dataene samles på, eller systemer, prosesser eller prosedyrer kan endres i løpet av dataenes livssyklus.

3. Rettigheter til enkeltpersoner
Streng kontroll og sporing av personopplysninger er avgjørende for å overholde personvernforordningens styrkede rettigheter for enkeltpersoner, som kan omfatte retten til å bli informert, retten til dataportabilitet og retten til sletting (også kalt “retten til å bli glemt”).

Hvis en enkeltperson ønsker å få personopplysninger slettet, eller hvis aktuelt, behandlingen av dataen stanset. Utskriftsvirksomheten, som databehandlere, kan være påkrevd å hjelpe datakontrollere med slike tilgangsanmodninger. Dette vil krever at databehandlerne må kunne finne spesifikke personopplysninger for å kunne fjerne eller slette dem på anmodning fra en datakontroll eller en enkeltperson.

4. Innebygd personvern og personvern som standardinnstilling
Forordningens nye rapporteringsvindu for varsler om databrudd, som gir datakontrolleren 72 timer til å rapportere databrudd til tilsynsmyndigheter, har fått betydelig oppmerksomhet. Forordningen krever også at databehandlere må varsle datakontrollere uten unødvendig forsinkelse etter at de bli klar over brudd på personopplysninger.

For å unngå bøter og skade på renommé som slike databrudd kan medføre, må utskriftsbransjen ha en høyere sikkerhetsstandard enn noensinne. Utskriftsvirksomheter bør gjennomføre passende tekniske og organisasjonsmessige tiltak for å sikre et sikkerhetsnivå som står i forhold til risikoen.

Tingenes Internett og flere trådløse enheter som har tilgang til nettverk, har medført nye cybersikkerhetstrusler som påvirker utskriftsteknologien. Moderne skrivere og smartenheter krever sikkerhet med flere lag som dekker inntrengninghindring, enhetsregistrering, dokument- og dataregistrering og eksterne partnerskap med sikkerhetsspesialister. Sikring av personopplysninger, for eksempel via kryptering, er påkrevd. Når data ikke lenger er nødvendig, bør de slettes på en passende måte.

I tillegg vil produktfunksjoner som tilgangskontroll (sikrer at bare autoriserte brukere har tilgang til utskriftsenheter) og sikker utskrift (bare sende utskriftsdokumenter når brukeren angir en unik PIN-kode) ta opp bekymringer for sikkerhet.

Etter hvert som sikkerhetsklarering blir stadig vanskeligere, vil trolig tjenestenivåavtaler for sikkerhet – inkludert forpliktelse til datakryptering og 2-faktor-autentisering – oftere dukke opp i kontrakter.

5. Nettverkskonsolidering
Mange transaksjonsutskriftsprosjekter bruker flere partnere for kompliserte direktepost-kampanjer (en agent for innlegg, en for brev, en for sortering osv.), noe som gir redusert kontroll over innholdet og økt eksponeringsrisiko.

Kravene til personvernforordningen kan føre til økt virksomhet for store OEMer. Kundene kan søke en “one-stop-shop” som håndterer underbehandlere på forskjellige geografiske plasseringer og tilbyr infrastruktur, sikkerhet og automatisk rapportering i et kontrollert miljø.

Personvernforordningen er nå på plass, og det er på tide å forberede seg på betydelige endringer i utskriftsbransjen. Utskriftsorganisasjonene, blant andre, må gjennomgå sine databehandlingsaktiviteter, søke eksperthjelp og utvikle en systematisk tilnærming.

Kontakt oss

Ta kontakt ›

 

Ansvarsfraskrivelse

Innholdet i denne artikkelen er bare ment som generell informasjon og skal ikke brukes i stedet for spesifikke juridiske råd eller meninger. Xerox fraskriver seg alt ansvar for alle handlinger eller samhandlinger som utføres basert på innholdet i artikkelen.

Xerox har ansatt et tverrfunksjonelt personvernsteam som skal sikre driftsklarhet både som global innbygger og tjenesteleverandør. Vi forventer at vi vil være i stand til å etterleve målene til EUS personvernforordning.