GDPR – EUs personvernforordning

Nye EU-regler: De som ikke har stålkontroll på disse 5 tingene, risikerer gigantbøter


Personvernet er viktig for oss alle, og for ansatte i bedriften. Når Datatilsynet kommer på visitt må virksomheten har prosedyrene og rutinene i orden.
Personvernet er viktig for oss alle, og for ansatte i bedriften. Når Datatilsynet kommer på visitt må virksomheten har prosedyrene og rutinene i orden. (Bilde: Colourbox)
EKSTRA


Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

Fra 25. mai 2018 skjerpes kravet til personvern for norske og europeiske virksomheter med et nytt EU-lovverk. Det vil påvirke alle bedrifter i alle sektorer. IT-bransjen er sektoren som må navigere rundt flest undervannnsskjær. 

Overholdes ikke det nye og kompliserte regelverket, risikerer virksomhetene enorme bøter som fort får 100 millioner kroner til å se ut som småpenger.

Les hele den nye lovforordningen på EUs hjemmesider.

digi.no har snakket med Norges fremste eksperter

digi.no har snakket med jurister og myndigheter for å hjelpe din organisasjon på veien til å forberede dere på det nye EU-regelverket.

Datatilsynet mener det var på høy tid å gjøre noe med det gamle Personverndirektivet fra 1995. Da hadde vi hverken Facebook eller Google.

Årsaken til at norske bedrifter og virksomheter omfattes av det nye lovverket er som alltid EØS-avtalen.

Trude Talberg-Furulund er seniorrådgiver i Datatilsynet. Hun sier at Datatilsynet er positive til den nye personvernforordningen som vi nå blir en del av via EØS-avtalen. Foto: Hans Fredrik Asbjoernsen

– Det nye lovverket gir oss like regler for personvern på tvers av landegrensene. Hovedstikkordene EU har jobbet etter har vært tillit, kontroll, sikkerhet og forenkling. Det nye lovverket skal sikre borgernes tillit til digitale tjenester, fremme samarbeidet mellom ulike datatilsynsmyndigheter i Europa, og gjøre det slik at det blir enklere for virksomheter å forholde seg til myndighetene, sier seniorrådgiver Trude Talberg-Furulund i Datatilsynet til digi.no.

Datatilsynet: – Gå igjennom systemene deres

Hun sier at Datatilsynet ser på det nye lovverket som positivt fordi det er bedre tilpasset vårt stadig mer digitaliserte samfunn enn dagens lovverk.

– Vi oppfordrer norske virksomheter til først og fremst å gå igjennom systemene sine, og se om de oppfyller dagens lovkrav. Selv om det kommer et nytt regelverk, må de fortsatt forholde seg til det gamle frem til mai 2018. Det er mye nytt, men ikke alt.

– Dermed kan det være at man allerede er innenfor regelverket på enkelte punkter, mens man trår utenfor på andre. Har man hverken satt seg inn i de nye eller gamle reglene er det på tide å rydde opp. Bryter virksomheten det nye regelverket vil det kunne få store konsekvenser, argumenterer seniorrådgiveren.

10 fakta Datatilsynet mener du må vite om det nye regelverket (klikk for å vise)

1) Alle norske virksomheter får nye plikter Alle virksomheter må sette seg inn i den nye lovgivningen og finne ut hvilke nye plikter som gjelder dem. Ledelsen må sørge for å få på plass rutiner for å overholde de nye pliktene. Alle ansatte må følge de nye rutinene når reglene trer i kraft.

2) Alle skal ha en forståelig personvernerklæring Informasjon om hvordan din virksomhet behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte. Det nye lovverket stiller strengere krav til informasjonens form og innhold enn dagens lovgivning. All informasjon som gis til barn, skal tilpasses barnas forståelsesnivå.

3) Alle skal vurdere risiko og personvernkonsekvenser Dersom et tiltak utgjør en stor risiko for personvernet, må virksomheten også utrede hvilke personvernkonsekvenser det kan ha. Hvis utredningen viser at risikoen er stor og dere selv ikke kan redusere den, skal Datatilsynet involveres i forhåndsdrøftelser.

4) Alle skal bygge personvern inn i nye løsninger De nye reglene stiller krav til at nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte. Dette kalles innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer.

5) Mange virksomheter må opprette personvernombud Alle offentlige og mange private virksomheter skal opprette personvernombud. Et personvernombud er virksomhetens personvernekspert, og et bindeledd mellom ledelsen, de registrerte og Datatilsynet. Ombudet kan være en ansatt eller en profesjonell tredjepart.

6) Reglene gjelder også virksomheter utenfor Europa Virksomheter som holder til utenfor Europa må også følge forordningen, dersom de tilbyr varer eller tjenester til borgere i et EU- eller EØS-land. Dette gjelder også om de ikke direkte tilbyr tjenester, men kartlegger adferden til europeiske borgere på nett. De som er etablert i flere land i Europa, skal bare trenge å snakke med personvernmyndighetene i det landet der de har sitt europeiske hovedkvarter.

7) Alle databehandlere får nye plikter Databehandlere er virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten. Ofte er det snakk om leverandører av IT-tjenester. De nye reglene pålegger databehandlere å ha rutiner for innsamling og bruk av personopplysninger. Databehandlere skal også si ifra til oppdragsgiveren sin hvis de får instrukser som er i strid med loven. Oppdragsgiver skal også godkjenne databehandlerens underleverandører. Databehandlere kan også bli holdt økonomisk ansvarlig sammen med oppdragsgiver.

8) Alle bør samarbeide i egne nettverk og følge bransjenormer De nye reglene oppmuntrer til sektorvis utforming av retningslinjer og bransjenormer. Om dere følger bransjenormer, vil dere ha de viktigste rutinene på plass. Datatilsynet skal godkjenne bransjenormene.

9) Alle får nye krav til avvikshåndtering Reglene for håndtering av sikkerhetsbrudd blir strengere. Forordningen stiller krav til når det skal varsles, hva varselet skal inneholde og hvem som skal varsles. Kort sagt skal man si fra raskere og oftere enn man gjør i dag.

10) Alle må kunne oppfylle borgernes nye rettigheter Den enkeltes rett til å kreve at hans eller hennes personopplysninger slettes blir styrket. Dette kalles «retten til å bli glemt». Norske og europeiske borgere vil blant annet kunne kreve å ta med seg personopplysningene sine fra en leverandør til en annen i et vanlig brukt filformat. Dette kalles «dataportabilitet». De kan også motsette seg profilering. Alle henvendelser fra borgere skal besvares innen en måned.

Kilde: https://www.datatilsynet.no/globalassets/global/05_regelverk/forordningen/punkter_ny-forordning_web_1.pdf 

Bull & Co: Det handler om kontroll

Ifølge advokatfirmaet Bull & Co handler den nye personvernforordningen i stor grad om kontroll. Med det mener advokatfirmaet at kontrollen over egne personopplysninger skal gis tilbake til enkeltindividet.

– Hvis vi sammenlikner dagens lovverk og de tilhørende forskriftene med det nye regelverket, er mye likt, men en del nye krav kommer, sier advokat Kristin Haram Førde i Bull & Co til digi.no.

Haram Førde har i mange år jobbet med informasjonssikkerhet og personvernrett. Hennes spesialområder er personvern og kontraktsrett med IT som spesialområde. 

(artikkelen fortsetter under)

Tar ikke bedriften det nye regelverket på alvor, vanker det massive bøter. Den høyeste fastsatte bøtesatsen er på 20 millioner euro. Rundt 180 millioner kroner etter dagens kurs. Ved ekstra alvorlige overtramp bøtelegges man med fire prosent av den totale omsetningen det driftsåret bruddet fant sted. Foto: Scanpix

Disse punktene må dere være OBS på

Advokaten forklarer at de mest vesentlige punktene i det nye lovverket er retten til å bli glemt, rett til dataportabilitet, krav til personvernombud, lovkrav om internkontrollrutiner, dokumentasjonskrav, krav til databehandlere og krav til personvernerklæringer og samtykker.

Det er senterleder og professor Lee Andrew Bygrave ved Senter for rettsinformatikk hos Universitetet i Oslo enig med henne i. 

Bygrave leder også det europeiske utvalget som skal utforme en kommentarutgave til den nye lovteksten. Veiledningen publiseres i hele EU i 2018. 

UiO-professor: – Regelverket skjerpes kraftig

– Selv om en rekke av de nye kravene har vært stilt implisitt i dagens regelverk, har de ikke vært veldig synlige og ettertrykkelige. Nå skjerpes regelverket rundt personvernet kraftig, sammenfatter eksperten.

UiO-professoren forklarer at alle virksomheter som behandler personopplysninger har et behandlingsansvar. Utbetaler dere for eksempel lønn til de ansatte behandler dere sensitive opplysninger i form av personnummer, adresse og kontonummer. 

Lee Andrew Bygrave er en norsk jusprofessor ved Universitetet i Oslo. Han har vært ekspertkonsulent for Europakommisjonen, Justisdepartementet og andre myndigheter i spørsmål om personvern og teknologi. Foto: UiO

Dermed rammes stort sett alle virksomheter av det nye regelverket. 

– Alle virksomheter må tenke på personopplysningsvern igjennom alle deler av sine prosesser. Jobber man for eksempel med systemutvikling er ikke dette noe man koble på i siste trinn av utviklingsprosessen. Dette må inn fra første stund. Det vil både kreve en omstilling fra ledelsen og de ansatte, konstaterer Bygrave til digi.no. 

Det er din bedrift som står for risikovurderingen

Han mener det er viktig å merke seg at den behandlingsansvarlige selv står for risikovurderingen av opplysningene.

Ifølge Bygrave stilles det nå også høyere krav til varsling ved sikkerhetsbrudd. Han sier hvis det skjer brudd på sikkerheten i en virksomhet skal dette rapporteres og varsles Datatilsynet omgående. 

Er sikkerhetsbruddet alvorlig skal det også varsles alle berørte parter. Dermed skal brukere av et program som lekker sensitive opplysninger varsles omgående. 

«Æ»-fadesen kunne fort kostet millionbeløp

De nye regelverket ville for eksempel tredd i kraft da Rema 1000s «Æ»-app lakk personopplysninger som en sil tidligere i år.

– Ved alle brudd på de nye reglene vil man kunne straffes med bøter. Mange tenker nok «oi, oi, oi, nå får vi en kjempebot hvis vi brenner oss», men det listes opp en del faktorer i  det nye lovverket som skal oppfylles før de største bøtene kommer. Dermed vil gebyrene variere, og nivået settes ut i fra alvorlighetsgraden, forklarer han.

Gebyrene kan i være så høye som 180 millioner kroner. Er man virkelig ute og kjører kan boten settes til fire prosent av den totale omsetningen i det aktuelle driftsåret.

Alle har med det nye lovverket retten til å skjerme seg for inngripen i sitt privatliv. Om en kunde ønsker at opplysninger skal slettes om dem, skal bedriften etterfølge dette ønsket. Uten motforestillinger. Foto: Solum, Stian Lysberg

– Dette er altså bøter som kommer til å svi, understreker UiO-professoren. 

Alle opplysninger skal utleveres når brukere ber om det

Bygrave sier at retten til dataportabilitet betyr at alle har krav om å få utlevert all innsamlet informasjon om dem. I tillegg stilles det krav om at alle personsensitive opplysninger skal kunne overføres fra ett selskap til et annet. 

Nesten som når man tar med seg telefonnummer sitt fra en operatør til en annen, forklarer han. 

– Dette er et helt nytt krav. Det er brukerne som selv må ta i bruk denne retten. Når noen ønsker å benytte seg av disse rettighetene, skal det skje helt uten hindring, forteller han til digi.no. 

Bygrave sier at den nye personvernforordningen med sine 99 bestemmelser er vanskelig og komplisert å sette seg inn i. 

Oppsøk hjelp hvis dere er i tvil

Han anbefaler virksomheter som føler at de er på tynn is å oppsøke profesjonell hjelp. Allikevel ønsker han å roe ned de som bekymrer seg unødvendig mye.

– De fleste virksomheter bør være kjent med den nye forordningen gjennom det gamle Personverndirektivet. Vet man hva den gamle lovteksten omfatter og krever, er man langt på vei. Dermed har de fleste bedrifter også allerede innført mange av tiltakene som kreves i den nye lovteksten, sammenfatter han.

Selv om mye kanskje allerede er gjort i nettopp din virksomhet har Kristin Haram Førde i Bull & Co hjulpet digi.no med å sette opp fem konkrete tiltak som alle bedrifter bør ha et forhold til.

(artikkelen fortsetter under)

Det innføres stadig mer overvåkning. Visste du at om din virksomhet samler inn personopplysninger gjennom for eksempel en app er dere pliktig til å informere om dette på en slik måte at målgruppen enkelt kan sette seg inn i inngrepet? Er deres målgruppe barn i 12-årsalderen skal det forklares på en så enkel måte at de skjønner hva de sier ja til, sier UiO-professor Lee Andrew Bygrave til digi.no. Foto: Josefsen, Jon-Michael

Har utviklet lovtjeneste som hjelper bedrifter på veien

Gjennom sitt arbeid med den nye tjenesten Personvernfabrikken har hun sett mange eksempler på tiltak som kommer til å bli krevende for ulike virksomheter å implementere.

Sammen med advokatene Kristian Foss, Rune Nordengen og Harald Bjelke og DNV GLs avdeling for datasikkerhet, har hun hatt ansvaret for tjenesten som skal hjelpe bedrifter med et standarisert rammeverk for etterfølgelse.

1) Sørg for å ha god forståelse på det nye regelverket

– Søk hjelp til å sette dere inn i regelverket. Det er viktig å skaffe seg en forståelse for hva de nye reglene betyr for din virksomhet. For de fleste er lovteksten på over 150 sider bare en stor, grov masse, argumenter advokaten til digi.no før hun fortsetter:

– Mange reagerer med ærefrykt på lovverket, og vet ikke helt hvilket nivå de skal legge seg på. Derfor bør virksomheten ha et forhold til hvor mye personsensitiv informasjon de behandler.

2) Utform en oversikt over dataflyten i virksomheten

– Hvilke data behandles, hvordan innhentes disse, og på hvilket grunnlag? Hvor lagres dataene? Viderefører dere data til tjenesteleverandører eller til utlandet? Hvem har tilgang til dataene, og har virksomheten rettslig grunnlag og sikkerhetsrutiner på plass? Hvordan sletter dere dataene? spør Haram Førde retorisk.

(artikkelen fortsetter under)

Kristin Haram Førde er advokat og partner i Bull & Co. Hun har bred erfaring med forretningsjus rettet mot IT-bransjen. Foto: Bull & Co

– Sammenlign dette med hva virksomheten har på plass og hva som kreves av dere videre. Utfallet av denne analysen forteller dere hvilke tiltak som må på plass, argumenterer advokaten.

3) Etabler en strategi for personvern

– Det er vanskelig å gi generelle råd. Alt avhenger nemlig av om man er en liten eller stor bedrift. Det er også store forskjeller på hva slags data man behandler. De fleste bør allikevel tenke på at det er viktig å ta vare på personvernet til de ansatte, sier Haram Førde og fortsetter:

– Pass på å utføre en risikovurdering som tar hensyn til hvilke kategorier av data virksomheten behandler. Hvilket nivå av risiko tåles sammen med hvilke sikkerhetsimplikasjoner disse skal ha? Sjekk også om virksomheten er forpliktet til å utnevne et personvernombud.

4) Etabler tiltak og rutiner som samsvarer med sikkerhetsrisikoen

– De fleste virksomheter bør ha rutiner som de ansatte kan følge. Det gjør det lettere for bedriften og deres ansatte å etterkomme regelverket. Derfor er det viktig å ha en praktisk tilnærming til disse rutinene. Når Datatilsynet kommer på besøk må man ha disse rutinene og tiltakene i orden, konstaterer hun.

Et eksempel på rutiner og tiltak kan for eksempel være:

  • Rutiner for innhenting, oppbevaring og behandling av personopplysninger
  • Personvernerklæringer
  • Samtykkeerklæringer
  • Innebygget personvern
  • Registrertes rettigheter
  • Datasikkerhet
  • Overføring av data – til tredjepart eller til utlandet

5) Implementer rutinene og sikkerhetsmekanismene

– Det er viktig at virksomhetene passer på at internkontrollene og rutinene ikke bare blir en perm i hylla som ikke brukes. Man skal ha en aktiv tilnærming til driftsfasen, slik at bedriften tar ansvaret for den nye personvernforordningen internt. Disse rutinene må stadig revideres, og terpes på, argumenterer Haram Førde til digi.no.

Et eksempel på rutiner kan være:

  • Internkontroll 
  • Oppfølgning av registrertes rettigheter
  • Varslings- og avviksrutiner
  • Informasjonssikkerhet – sertifiseringer og rutiner

EU jobber også med å modernisere personvernregler for elektronisk kommunikasjon: Frykter at EU-forslag kan gjøre det vanskeligere å finne gratistjenester på nettet »

Kommentarer (0)

Kommentarer (0)
Til toppen