Slik sikrer du redaksjonens personvernpolicy

Her er en sjekkliste for redaktører i forbindelse med utvikling av redaksjonell personvernpolicy, utarbeidet i forbindelse med innføringen av General Data Protection Regulation (GDPR) sommeren 2018. Sjekklisten er utviklet av Ingeborg Volan og bearbeidet i samarbeid med Norsk Redaktørforening.

Volan holdt også et lynkurs i GDPR for redaktører på Medieleder 2018. Opptak finnes her, og her kan du laste ned presentasjonen til Volan.

Ingeborg Volan er redaktør for leserutvikling i Dagens Næringsliv våren 2018, men fram til dette var hun utviklingsredaktør i Adresseavisen, og sjekklisten er i utgangspunktet utarbeidet for Polaris-konsernet, men bearbeidet i samarbeid med NR.

Sjekkliste ved utvikling av redaksjonell personvernpolicy

Oppbevaring og utveksling av informasjon:

  • Hvordan oppbevarer vi notatblokker, dokumenter og annet fysisk materiell som inneholder personopplysninger?
  • Hvordan skal vi lagre digital informasjon trygt og sikre at ikke utenforstående får tilgang?
  • Hvilke regler gjelder for bruk av e-post?
  • Vurder kryptering ved oversending av sensitive personopplysninger eller knyttet til saker der kildene skal beskyttes.
  • Hvordan beskytter vi mobiltelefoner?
  • Har vi mulighet til enkelt å kryptere telefonsamtaler?
  • Hvilke systemer bruker vi for sms?
  • Har vi databaser eller andre samlinger av store mengder personopplysninger? I så fall trenger vi prinsipper for hvordan disse lagres og hvor lenge informasjonen lagres.

 

Redaksjonelle verktøy og prosesser:

  • Har vi individuelle eller felles pålogginger til eksterne tjenester redaksjonen bruker? Hvilke retningslinjer gjelder for passordskifte etc?
  • Hvilke rutiner har vi for å sørge for at bare våre nåværende ansatte har tilgang til systemer der vi deler informasjon (planleggingsverktøy, Facebookgrupper mv.)?

 

Administrative prosesser:

  • Har vi en sikker tipsordning, med mulighet for anonym og sikker kontakt til redaksjonen?
  • Hvordan administrerer vi tips-honorering?
  • Hvis vi har felles kildelister, hvordan sikrer vi at disse ikke er tilgjengelig for utenforstående?
  • Får deltakere i konkurranser tilstrekkelig informasjon om hvilken informasjon dere samler inn om dem?
  • Har vi rutiner for å slette persondata om konkurransedeltakere/innsendere når konkurransen er gjennomført?

 

Teknologibruk:

  • Har bedriften en IT-policy? Denne skal følges.
  • Hvem kan bestemme at et nytt verktøy skal tas i bruk, og hvordan sikrer vi at vi følger GDPR-reglene?
  • Hvilke regler gjelder for backup og eksterne lagringsenheter?
  • Hvordan sikrer vi at vi følger reglene når vi utvikler nye løsninger internt?

 

Distribusjon av innhold på sosiale medier:

  • Har vi elementer på nettsidene våre som sporer brukerne når de er på andre nettsteder?
  • Deler vi data om våre brukere med tredjeparter? Vet vi i så fall at dataene kun bruker til det vi har gitt lov til?

 

(Utviklet av Ingeborg Volan, nå Dagens Næringsliv, for Polaris-konsernet. Bearbeidet i samarbeid med Norsk Redaktørforening)

Her er sjekklisten i word-format.