Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »
Fire måneder etter GDPR trådde i kraft, formelig renner det inn med henvendelser hos Datatilsynet. I 2015 fikk tilsynet totalt inn 84 avvik, i 2016 hadde tallet steget til 349. Siden innføringen for fire måneder siden har det kommet inn over 600. Det fortsetter bare å øke.
– Vi begynner å gjøre oss noen erfaringer. Det er et par ting som har vært ganske påfallende så langt. Det første er kanskje ikke veldig overraskende: vi får inn veldig mange avviksmeldinger. Per 20. november har vi mottatt 1 000 avviksmeldinger totalt, sier Bjørn Erik Thon til digi.no.
Siden 2010 har han vært direktør i Datatilsynet. Thon sier det også har vært en stor økning i antall veiledningshenvendelser – altså der folk tar kontakt for å få hjelp med ulike problemstillinger tilknyttet regelverket.
20 prosent
Datatilsynet har ikke noen konkrete tall å vise til her, men Thon anslår at det har vært en økning i disse forespørslene på rundt 20 prosent – eller rundt 2 000 henvendelser.
GDPR har sørget for at Datatilsynet må holde seg ekstra godt orientert om hva som skjer både nasjonalt og internasjonalt.
– Fremover vil det bli svært viktig å etableres rutiner, sette seg inn i regelverket og finne ut om dere trenger et eget personvernombud. Alle har en klar plikt til å sette seg inn hvilke regler som gjelder for dem. At man ikke kjenner reglene er ingen unnskyldning. Om dere sliter med å navigere, kan dere hyre inn hjelp for å finne ut hvilke regler som gjelder for dere.
– Det er virksomhetene selv som må finne informasjonen, og slik vil det også være fremover. Når det kommer mer rettspraksis på GDPR vil det komme mer informasjon på våre hjemmesider med fortolkninger av rettspraksis, men det viktigste er et at alle følger med på hva som skjer i sin bransje og sektor, argumenterer juristen til digi.no.
Innført 20. juli
Planen var egentlig at vi skulle få på plass nytt regelverk allerede i mai, men på grunn av forsinkelser med å få forordningen inn i EØS, lot innføringen vente på seg.
Det overordnede målet med regelverket er å gi vanlige folk bedre kontroll over hvilke personopplysninger ulike selskaper samler inn om dem.
Først fredag 20. juli var regelverket også innført her på berget.
– Vi er klar. Vi har egentlig vært klar en stund. Men om resten av Norge er klar, er mer usikkert, sa kommunikasjonsrådgiver Guro Skåltveit i Datatilsynet til NTB da GDPR var et faktum for norske virksomheter i juli.
Menneskelig svikt
Avviksmeldingene som renner inn etter innføringen kan deles opp i to kategorier. De som ikke er så alvorlige, og de som er et større brudd på GDPR-lovverket.
– De mindre bruddene – der saken er håndtert godt av virksomheten får ikke noen følger, men i de større avvikene starter vi en saksbehandling, sier Thon til digi.no.
Han forteller at avviksmeldingene i stor grad går på menneskelig eller teknisk svikt, hacking, eller feilsendinger av epost.
Det er stort spenn i de ulike sakene, og Datatilsynet har ikke hatt tid eller kapasitet til å kategorisere henvendelsene nærmere. Planen er at det skal komme gode statistikker på nyåret.
Scanner fort over
For å rekke over alle henvendelsene scanner saksbehandlerne fort over de innkommende sakene. Kreves det mer informasjon, tar saksbehandlerne kontakt med den aktuelle virksomheten, og ber om utdypende kommentarer før de går videre med saksbehandlingen.
I snitt kommer det inn 50 avvik i uka.
– Saksbehandler sjekker hvor alvorlig avviket er, og hva slags tiltak som er satt i verk for å rydde opp.
– Vi jobber så fort vi kan, men det er ikke helt uproblematisk saksbehandlingsmessig. Det jobbes fortsatt med å effektivisere prosessen, og hvor terskelen skal ligge før vi må gå i gang med en dialog med motparten, forklarer Thon.
Siden lovverket er helt nytt, er det helt naturlig med en innkjøringsperiode, mener han.
GDPR påvirker hverdagen
Datatilsynet må jobbe med å sette seg inn i det nye lovverket på lik linje med alle andre norske virksomheter.
Thon forklarer at de tar tiden til hjelp for å drive med selvlæring, og at de også må lære av feil de har gjort – noe som også er en del av hensikten med avviksmeldingshåndteringen.
– GDPR påvirker hverdagen vår i betydelig grad. Det er et helt nytt regelverk som vi også må praktisere og lære oss. Det høres kanskje banalt ut, men det er krevende å sette seg inn i et nytt regelverk som vi skal jobbe etter.
– At vi skal ilegge store overtredelsesgebyrer ved grove brudd på regelverket gjør at vi må ha svært god kontroll, presiserer han.
(artikkelen fortsetter under)
Ingen tilsyn
Gebyrene kan være så høye som 180 millioner kroner. Er man virkelig ute og kjører kan boten settes til fire prosent av den totale omsetningen i det aktuelle driftsåret.
Den nye personvernforordningen har fått massiv medieomtale den siste tiden.
I 2016 ble det produsert to nyhetsartikler om det GDPR, ifølge Retriever. Året etter steg tallet betraktelig til 114, mens det i 2018 virkelig har tatt av:
Norske journalister har skrevet 537 nyhetsartikler om regelverket som ble innført via EØS–samarbeidet.
Datatilsynet har foreløpig ikke hatt noen rene GDPR–tilsyn, men kommer til å trappe opp denne virksomheten på nyåret – også for å kunne gå dypere i materien.
Verdt å vite om GDPR
1) Alle norske virksomheter får nye plikter Alle virksomheter må sette seg inn i den nye lovgivningen og finne ut hvilke nye plikter som gjelder dem. Ledelsen må sørge for å få på plass rutiner for å overholde de nye pliktene. Alle ansatte må følge de nye rutinene når reglene trer i kraft.
2) Alle skal ha en forståelig personvernerklæring Informasjon om hvordan din virksomhet behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte. Det nye lovverket stiller strengere krav til informasjonens form og innhold enn dagens lovgivning. All informasjon som gis til barn, skal tilpasses barnas forståelsesnivå.
3) Alle skal vurdere risiko og personvernkonsekvenser Dersom et tiltak utgjør en stor risiko for personvernet, må virksomheten også utrede hvilke personvernkonsekvenser det kan ha. Hvis utredningen viser at risikoen er stor og dere selv ikke kan redusere den, skal Datatilsynet involveres i forhåndsdrøftelser.
4) Alle skal bygge personvern inn i nye løsninger De nye reglene stiller krav til at nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte. Dette kalles innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer.
5) Mange virksomheter må opprette personvernombud Alle offentlige og mange private virksomheter skal opprette personvernombud. Et personvernombud er virksomhetens personvernekspert, og et bindeledd mellom ledelsen, de registrerte og Datatilsynet. Ombudet kan være en ansatt eller en profesjonell tredjepart.
6) Reglene gjelder også virksomheter utenfor Europa Virksomheter som holder til utenfor Europa må også følge forordningen, dersom de tilbyr varer eller tjenester til borgere i et EU- eller EØS-land. Dette gjelder også om de ikke direkte tilbyr tjenester, men kartlegger adferden til europeiske borgere på nett. De som er etablert i flere land i Europa, skal bare trenge å snakke med personvernmyndighetene i det landet der de har sitt europeiske hovedkvarter.
7) Alle databehandlere får nye plikter Databehandlere er virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten. Ofte er det snakk om leverandører av IT-tjenester. De nye reglene pålegger databehandlere å ha rutiner for innsamling og bruk av personopplysninger. Databehandlere skal også si ifra til oppdragsgiveren sin hvis de får instrukser som er i strid med loven. Oppdragsgiver skal også godkjenne databehandlerens underleverandører. Databehandlere kan også bli holdt økonomisk ansvarlig sammen med oppdragsgiver.
8) Alle bør samarbeide i egne nettverk og følge bransjenormer De nye reglene oppmuntrer til sektorvis utforming av retningslinjer og bransjenormer. Om dere følger bransjenormer, vil dere ha de viktigste rutinene på plass. Datatilsynet skal godkjenne bransjenormene.
9) Alle får nye krav til avvikshåndtering Reglene for håndtering av sikkerhetsbrudd blir strengere. Forordningen stiller krav til når det skal varsles, hva varselet skal inneholde og hvem som skal varsles. Kort sagt skal man si fra raskere og oftere enn man gjør i dag.
10) Alle må kunne oppfylle borgernes nye rettigheter Den enkeltes rett til å kreve at hans eller hennes personopplysninger slettes blir styrket. Dette kalles «retten til å bli glemt». Norske og europeiske borgere vil blant annet kunne kreve å ta med seg personopplysningene sine fra en leverandør til en annen i et vanlig brukt filformat. Dette kalles «dataportabilitet». De kan også motsette seg profilering. Alle henvendelser fra borgere skal besvares innen en måned.
– Vi rykker frem på ulike fronter
De kommer da i første omgang til å gå etter de bransjene der det kommer inn flest avvik.
Datatilsynet–direktøren vil ikke si noe konkret om når det kommer til å skje, eller hvilke type bransjer de kommer til å ha et spesielt godt øye til.
– Vi rykker frem på de ulike frontene i ulikt temp. Det som er ganske sikkert er at det skjer en del avvik som ikke blir innmeldt fordi virksomhetene ikke klarer å avdekke dem selv. De har rett og slett ikke god nok internkontroll. Mange har nok heller ikke kultur for å melde fra når det skjer noe galt, konstaterer 54–åringen til digi.no.
Thon mener Datatilsynet har jobbet mer enn tilfredsstillende på informasjonssiden.
Han forteller at det har vært enorm etterspørsel etter informasjon om det nye EU–regelverket.
– Det norske tilsynet har jobbet godt med å dekke dette informasjonsbehovet, og har jobbet på spreng for å ha gode veiledere som kan hjelpe dem som ønsker å navigere forbi de verste skjærene.
Kostet tid og ressurser
Å produsere veilederne har kostet mye tid og ressurser, og Thon mener det meste har godt på skinner til tross for alt ekstraarbeidet.
Totalt jobber det 46 personer i det norske Datatilsynet. De ulike fagavdelinger jobber med ulike spørsmål. Tilsynet har nettsider som må vedlikeholdes, og de prøver å kommunisere så godt det lar seg gjøre via disse.
Årlig kommer det inn over 10 000 henvendelser fra ulike hold som trenger veiledning.
– Vi gikk kanskje litt raskt inn i detaljene og fortolkningene istedenfor å fokusere på de overordnede prinsippene, men bruker ikke mye tid på å tenke på det nå.
– I europeisk sammenheng har vi vært veldig tidlig ute med å informere om de sentrale områdene i lovverket. Siden regelverket er likt for alle i EU, kan ikke vi i Norge gå ut med informasjon før vi alle landene er samkjørte om den. Samtidig har vi lagt ut våre standpunkter, og justert oss etter den europeiske prosessen.
Kommentarer (1)