Dette betyr den nye personvernforordninga

– Den nye personvernforordningen handler om tre ting: personvern, informasjonssikkerhet og tillit, forklarer Fredrik Grindland, seniorrådgiver i Bouvet.

– Den nye personvernforordningen påvirker alle. Jeg synes det er viktig at vi forstår bakgrunnen for den. Den skal hovedsakelig beskytte oss som privatindivider i en verden som stadig digitaliseres.
Personvernforordningen er laget av EU for EU- og EØS-land, og trår i kraft i mai 2018. Dette er den største endringen innen personvernlovgivning i Europa på over 20 år.
– Noen sier at denne problematikken er like stor som 2000-problematikken – jeg tror den er større.

Hva er egentlig dette?
– Det er tre aspekter ved den nye personvernforordningen som jeg vil trekke frem som viktige. Det er personvern, informasjonssikkerhet og tillit. Den nye ordningen skal i større grad sikre de registrertes rettigheter – og så blir det spennende å se hvor lett det er å utnytte disse rettighetene. Det er veldig lett å tenke at dette har med systemer og gjøre – men det har like mye med rutiner å gjøre.
Den nye personvernforordningen blir nå felles for hele Europa. Dette anser Fredrik Grindland som en styrke.
– Det gir oss mulighet til å stå sterkere mot store konsern og institusjoner som kan by på personvernmessige utfordringer. Det blir også lettere for oss å nå gjennom.

”Privacy by default”
Den nye personvernforordningen skal sikre innebygd personvern.
– Alle må oppfylle personvernprinsipppene, samt den registrertes rettigheter. En privatperson skal når som helst kunne hente ut all informasjon om seg selv, for eksempel i en bank, og ta det med videre til et nytt selskap. Innebygd personvern berører også faktisk sletting. I tradisjonelle datasystemer blir ikke en person slettet, men merket som slettet. Det er ikke nok lenger. Nå skal en person fysisk slettes fra datalagrene, både hovedlagrene og backup-en.
På alle innstillinger, for eksempel på TV-boksen eller på Facebook, skal alternativet med strengest personvern være default – altså det automatiske alternativet.
– På denne måten blir det lettere for privatpersoner å selv bestemme hvem som skal få innsyn i private data. Det har ikke vært et krav før. Dette innebærer også informasjonssikkerhet. Vi skal være sikre på at våre data ikke havner hos uvedkomne, slik de gjorde i Facebook-saken.

Plassering av ansvar
En kjerne av den nye personvernforordningen er større og tydeligere plassering av ansvar, understreker Grindland.
– Mange virksomheter er ikke klar over at de er ansvarlig for behandling av personvernopplysninger – både internt og eksternt. Nå blir virksomheter pålagt å vite hvilke personopplysninger som behandles, i hvilke prosesser og med hvilke systemer.
Grindland viser til en undersøkelse gjennomført av BDO, hvor 41% av de spurte virksomhetene ikke har oversikt over hvilke personopplysninger de behandler, verken digitalt eller på papir.
– Jeg ble overrasket når jeg så den lista. Det som også kom frem er at mange virksomheter er usikre på hva som faktisk utgjør personopplysninger. Jeg opplever at mange bedrifter knytter personopplysninger til kundeopplysninger, men det er som regel egne ansatte de har mest opplysninger om. Her tror jeg mange mister oversikten, for de tenker ikke på det.
Den nye personvernforordningen er tydelig på å plassere hele ansvaret hos virksomheten.
– Den registrerte har rett til å vite hvilke data som behandles, om dataene er korrekt, og få informasjon om hva opplysningene skal brukes til og hvor lenge de skal beholdes. Opplysninger uten hensikt skal slettes.

Gruppesøksmål og bøter
Overgangen til rutiner, prosesser og systemer som imøtekommer den nye personvernforordninga, krever høy bevissthet, kontroll og risikovurdering.
– Hvor sikker er du på at Dropbox er trygt å bruke? Jeg mener det er rimelig trygt, men det skjer at det blir hacket. Fra og med mai 2018, når den nye personvernforordninga trår i kraft, må alle virksomheter som rammes av hendelser hvor personopplysninger kanha havnet på avveie, varsle Datatilsynet innen 72 timer. Uansett om hendelsen skjer hos en ekstern leverandør.
Personvernforordninga gjør det også enklere for privatpersoner å saksøke virksomheter som ikke oppfyller ordningas krav,
– Grupper av enkeltpersoner kan enklere saksøke virksomheter som har håndtert deres personopplysninger i strid med loven. I tillegg vil Datatilsynet kunne ilegge virksomheter bøter – og de er store: 4% av global omsetning.

Risikobasert tilnærming
Det er mange måter å tilnærme seg dette på, men du må først forstå hva dette handler om, mener Grindland.
– Det første en virksomhet må gjøre er å kartlegge og få oversikt over hvilke personopplysninger som behandles internt og eksternt. Deretter må det gjennomføres en risikovurdering. Når virksomheten følger prinsippene, er det viktig å etablere rutiner.
Datatilsynet forventer ikke at alt skal være på plass i løpet av mai måned, men Grindland understreker at det viktig å påbegynne arbeidet.
– Planen som lages ut ifra en risikobasert tilnærming, den er det viktig å dokumentere. Og så er det bare å begynne.