Ny personvernlovgivning - hva betyr det for din virksomhet?
Om ganske nøyaktig ett år erstattes den norske personvernloven av EUs nye personvernforordning, General Data Protection Regulation (GDPR). Den nye forordningen vil i større eller mindre grad påvirke alle virksomheter som behandler, lagrer og samler personopplysninger.
Denne artikkelen trykkes også i juniutgaven av tidsskriftet Revisor informerer.
Til tross for at flere av dagens regler videreføres, vil også nye prinsipper og regler gjøre seg gjeldende og GDPR representerer på mange områder en innstramming i forhold til eksisterende lovverk. Den nye forordningen trer i kraft 25. mai 2018.
Et felles rammeverk
Hovedtanken bak GDPR-regelverket er at Europa skal få et mer moderne, ensartet og harmonisert personregelverk på tvers av hele EU/EØS. Forordningen har til hensikt å styrke personvernet ved behandling av personopplysninger, og skal bidra til at det blir enklere for virksomheter å etterleve reglene. Dermed styrkes individets posisjon i et marked hvor virksomheter samler inn personopplysninger over en lav sko. Informasjonssikkerhet knyttet til personopplysninger dreier seg om at virksomheten må håndtere risikoen for at personopplysningene de samler inn sikres på en tilfredsstillende måte og ikke gjøres tilgjengelig for uvedkommende. GDPR vil dermed ha stor betydning for norske IT-kunder og tjenesteleverandører.
Digitalisering og økt omfang av persondata
Gjennom digitalisering og teknologiutvikling genereres det stadig mer persondata. Ny teknologi åpner opp for nye muligheter for innsamling, deling, lagring, sammenstilling og videreforedling av personopplysninger. Utbredelsen av Internet of Things (IoT) gjør at ustrukturerte data kan hentes gjennom ting koblet til internett for å spore brukerens atferd. Verdien og innsikten i dette resulterer i at fremoverlente virksomheter innhenter og analyserer persondata (ofte ved hjelp av Big Data Analytics-verktøy) for å skape bedre og mer tilpassede produkter og tjenester.
Innsamlingen av stadig mer persondata utvider mengden og typen personopplysninger virksomhetene etter hvert besitter. Data hentet fra beacons (nettvarder – små radiosendere), fingeravtrykk, ansiktsgjenkjenning, loggdata og IP-adresser skal i de fleste tilfellene regnes som personopplysninger. Virksomheten må derfor skaffe seg et helhetlig bilde over hvilke av de innsamlede dataene som utgjør personopplysninger, og hvilke av disse den besitter. For å håndtere de innsamlede persondataene, kan virksomheter benytte Big Data-verktøy som kan håndtere store mengder med data og som har funksjonalitet som identifiserer og sikrer «skjulte» personopplysninger i ustrukturerte data. En virksomhet må ha et aktivt forhold til å verne om de personopplysningene de behandler og sørge for at persondata ikke kommer på avveie.
Individet i sentrum
Når forbrukere i stor grad deler personlig informasjon gjennom digitale tjenester, er det utfordrende å ha oversikt over hvem som vet hva og hvorfor. Den nye personvernforordningen har til hensikt å gi forbrukerne større rettigheter og styrke deres tillit til digitale tjenester gjennom en rekke nye regler. Forbrukere skal få større innsikt i hvordan virksomhetene benytter informasjonen de henter inn, i tillegg til hvordan den blir lagret. Forbrukere får også rett til å kreve at personlig informasjon blir «glemt» eller slettet. Videre får forbrukere rett til å ta med seg eller kreve flytting av data til andre tjenesteleverandører, såkalt dataportabilitet. I tillegg skal virksomhetene ha strengere og klarere samtykke fra de som det samles inn personopplysninger fra, og personer kan til enhver tid trekke tilbake samtykket til bruk av persondata. Personopplysninger skal kun, i likhet med dagens regelverk, brukes i samsvar med det formålet som ble oppgitt ved innsamlingen. Alle bedrifter bør allerede nå starte arbeidet med å tilpasse rutiner og løsninger for å møte de nye kravene.
Nye krav – gjensidig ansvar
Virksomhetene som blir omfattet av GDPR, er alt fra et lokalt tannlegekontor til store, internasjonale skyleverandører. Virksomhetene som besitter personopplysninger, er enten definert som behandlingsansvarlig eller databehandler. En databehandler er en virksomhet som behandler personopplysninger på vegne av en annen virksomhet, den behandlingsansvarlige. En IT-tjenesteleverandør er typisk en databehandler, mens en virksomhet som setter ut tjenesten er behandlingsansvarlig. Den nye personvernforordningen stiller flere krav til databehandler i form av dokumentasjon og rutiner rundt informasjonssikkerhet, som bevis for etterlevelse av reglene. Dersom persondata kommer på avveie, skal dette varsles både til Datatilsynet og den som er rammet av datatapet innen 72 timer. Husk at databehandler og behandleransvarlig sammen har et ansvar for at reglene i GDPR overholdes.
Flere virksomheter som behandler personopplysninger, vil også bli pålagt å opprette et personvernombud etter de nye reglene. Se egen artikkel om dette.
Et annet viktig krav er såkalt innebygd personvern, som går ut på at virksomheter skal bygge personvern inn i alle løsninger, f.eks. i utvikling av informasjonssystemer. Virksomhetene skal også forfatte en forståelig personvernerklæring, tilpasset leseren.
Store konsekvenser
En av hovedårsakene til all oppmerksomheten rundt GDPR er muligheten for store bøter ved ikke å etterleve regelverket. Virksomheter som bryter regelverket, kan i ytterste konsekvens bli ilagt bøter på opptil 4 % av samlet årlig omsetning eller 20 millioner euro – avhengig av hvilket beløp som er størst. Størrelsen på disse bøtene har til hensikt å sørge for at bedriftene i større grad opptrer proaktivt fremfor reaktivt, og at ansvaret blir løftet opp på ledelsesnivå. Brudd på regelverket vil også kunne gi virksomheten omdømmetap, samt potensielt svekket konkurranseevne som følge av manglende evne til å etterleve reglene og tilby den graden av personvern som markedet krever.
Kom i gang med forberedelsene nå
Til tross for at mye fortsatt er usikkert rundt forståelsen av det nye regelverket, bør virksomheter allerede nå starte forberedelsene til det nye regelverket. Gjør man dette, vil man ha et godt utgangspunkt for 2018.
a) Avklare og få oversikt over personopplysninger som behandles i dag
- Hvilke?
- Hvor kommer de fra?
- Hvem har tilgang?
- Hvor lenge lagres de? Ligger de i skytjenester?
- Kan opplysningene aksesseres av personer utenfor EU?
b) Sørge for å oppfylle dagens lovkrav (dokumentasjon og compliance)
- Risikovurderinger
- Compliance
- Handlingsplaner ved databrudd
- Katastrofeberedskap
- Retningslinjer for innebygget personvern
c) Sette seg godt inn i det nye regelverket
d) Starte arbeidet med å utføre nye rutiner for å følge de nye reglene.