GDPR-utmattelse kan kureres!

Med fire steg kan virksomheter gjøre GDPR-etterlevelsen lettere i praksis, skriver advokat Ove A. Vanebo i denne kronikken.

GDPR-utmattelse kan kureres!
Kronikkforfatteren, Ove A. Vanebo, er advokat og assosiert partner i CMS Kluge Advokatfirma. Foto: Kimm Saatvedt

I et underholdende og på mange måter treffende innlegg hos Digi.no 14. september, spør advokat Thomas Flo Haugaard i Bryn Aarflot om: «Har du husket å føle deg GDPR-utmattet i dag?»

Haugaard har utvilsomt rett i at EUs personvernforordning, populært kalt GDPR, har skapt mange problemer og hodebry etter at den ble gjort til norsk regulering gjennom personopplysningsloven. Hans erfaringer, der fortvilte bedriftseiere ringer og er bekymret for hvordan regelverket skal følges, samsvarer også med mine erfaringer.

For egen del vil jeg også nevne at mange i offentlig sektor er redd for at personvern kommer i veien for gode tjenesteleveranser til innbyggerne. Det bør bekymre både politikere, offentlige ledere som skal ivareta kvaliteten – og ikke minst dem som til syvende og sist skal motta tjenestene.

Mye av det Haugaard nevner om å måtte levere «brannslukningsråd», der akutte spørsmål må løses gang på gang, er også noe jeg kjenner meg igjen i. Men det er to ting jeg vil nevne, som med fordel kan utdypes når GDPR skal etterleves.

For det første er det et potensial for en mer pedagogisk fremstilling av regelverket, ikke nødvendigvis mer krystallklare råd. GDPR legger opp til at personopplysninger og rettigheter skal beskyttes, men at det vil bero på risikobildet hva som må gjøres. Selv om det er problematisk at «regelverket i stor grad skyver vurderingene over på bedriftene selv», som Haugaard påpeker, er dette også ment å sørge for fleksibilitet og at det ikke oppstilles for strenge minimumskrav.

Les også

Ved å gi bedriftene et større handlingsrom for å gjøre fornuftige avveininger, er det mulig å finne flere løsninger som samsvarer best med bransjen og tjenesteinnovasjon. For rigide rammer og tydelige føringer her, vil fort ende opp i dyre standardløsninger og at det heller blir «best practice» snarere enn «godt nok».

Problemet i dag er at bedrifter ikke gjør det Datatilsynets veteran Knut-Brede Kaspersen i sine mange foredrag har påpekt er et sentralt spørsmål for tilsynet: «Har du i det minste prøvd?» Min erfaring er at Datatilsynet kan være nokså imøtekommende, gitt at det er utformet samvittighetsfulle vurderinger og redegjørelser.

Det bringer meg over til det andre aspektet ved uhåndterlig GDPR-oppfølging: Arbeidet må skje planmessig! Ved å ha et mer overordnet system for internkontroll, eller et kvalitetssystem om du vil, skal de mer heseblesende opplevelsene reduseres.

Uten at jeg skal gå i detaljer om hvordan dette bør gjøres, kan fire steg nevnes for hvordan virksomheter i praksis kan gå frem for å gjøre GDPR-etterlevelsen lettere:

  1. Få kontroll på dataflyten.
    Hva slags personopplysninger har du, og hvor er de? Altfor mange bruker standardiserte erklæringer og skjemaer uten verdi, fordi de ikke viser realitetene i hva virksomheter bruker data til. Det er derfor naturlig å starte med å få oversikt over maskiner og systemet data «flyter» i. Som regel er det hensiktsmessig å sette opp et «flytskjema» eller -kart og lignende, der man kan utforme en visualisering av hvor informasjon sendes og oppbevares.

    Virksomheter må vite hvor personopplysninger lagres og hvor de sendes – og ikke minst til hvem. Noe av det som har skapt mange overskrifter, og kostet bedrifter dyrt, de siste årene, er nettopp at data sendes ukontrollert til ukjente mottakere eller ut av Europa.

  2. Hva brukes personopplysninger til – og har du lov til å bruke dem?
    Det er ikke akseptabelt å ha personopplysninger «just in case»: Etter GDPR må personopplysninger brukes til bestemte formål. Dette får betydning også for hva de kan gjenbrukes til og hvor lenge data kan lagres. Personopplysninger skal i utgangspunktet ikke oppbevares lengre enn det som er nødvendig for formålet.

    Hva slags formål personopplysninger brukes til, vil også få betydning for hvilken hjemmel som kan brukes. Behøver du for eksempel samtykke, eller er det en lovbestemt plikt til å oppbevare personopplysninger? Altfor mange virksomheter har oversett at all bruk av personopplysninger må ha en egen hjemmel (et såkalt «rettslig grunnlag» eller «behandlingsgrunnlag»).

  3. Få på plass sikkerhetstiltakene
    GDPR er som nevnt ikke et «one size fits all»-regelverk. Det må brukes passende tiltak ut fra hva som er risikobildet. Før du avgjør hva du må ha på plass av beskyttelsestiltak, er det derfor nødvendig å finne ut hva risikoen er. Det betyr å spørre seg: Hvilke hendelser kan oppstå (for eksempel for feilsendte e-poster eller hackerangrep)? Hva kan være konsekvenser av dem? Og hvor sannsynlig er det at hendelsen vil oppstå? Her kan sunn fornuft og erfaringer fra virksomheten brukes.

    Risiko uttrykkes ved å se konsekvens og sannsynlighet i sammenheng. Når dette er kartlagt, er det mulig å finne ut hva som må gjøres for å redusere eller unngå risikoen. Er risikoen lav, er det kanskje heller ikke noe poeng å investere i det dyreste og mest fancy utstyret.

  4. Følge opp folks rettigheter

    Noe av det som kan initiere Datatilsynets undersøkelser og «smekk på fingrene», er at folk føler seg dårlig behandlet. Når de ber om innsyn i hva slags personopplysninger bedriften har, og svar ikke kommer, er veien kort til å sende en sur e-post til tilsynsmyndigheter.  

    Lag derfor en oversikt over rettighetene registrerte personer har etter GDPR, og hvordan de skal følges opp. Pek ut bestemte personer som har ansvaret. Ikke sjeldent sendes henvendelser på en «rundtur» i bedriften, uten at noen tar ansvar og følger opp en anmodning om for eksempel innsyn.  

    Oppsummert er det klart at GDPR ikke er et enkelt og oversiktlig regelverk, og her har Haugaard helt rett. Den danske professoren Peter Blume har spøkefullt skrevet at stringent systematikk var tydeligvis en by i Russland da GDPR ble laget.  

    Desto viktigere blir det å bryte ned plikter og ansvar, bit for bit, for både å få oversikt og følge opp ansvaret. Første steg er å starte med systematisk arbeid, gjøre arbeidet grundig – og forhåpentligvis unngå at de overraskende og ubehagelige situasjonene oppstår oftere enn nødvendig.

Les også