Vær forberedt for nytt personvernregelverk

Artikkel

Vær forberedt på nytt personvernregelverk

Det nye personvernregelverket som trer i kraft neste år endrer hvordan norske virksomheter kan bruke personopplysninger fra europeiske borgere – uavhengig av om personopplysningene behandles i eller utenfor EU/EØS.

Økt virksomhetsansvar

EUs nye personvernforordning setter et styrket personvern på dagsorden for både individer og virksomheter. En viktig intensjon med det nye regelverket er å endre måten private og offentlige virksomheter forholder seg til personvern. Individer får flere og klarere rettigheter, og virksomhetsansvaret med tilhørende plikter øker. Kravene griper inn i prosesser i hele virksomheten, og både ledelsen og medarbeidere må være enda mer bevisste på behandlingen av personopplysninger.

Et viktig og til dels nytt prinsipp er at det minst personverninngripende alternativet skal velges ved all behandling av personopplysninger, og være standardinnstilling i alle systemer og løsninger. Virksomheter må selv være bevisst hvilket nivå man legger seg på i rutiner, risiko og personvernkonsekvenser.

 

Nye rutiner

Utvidede informasjonsrettigheter om hva personopplysningene blir brukt til, sammen med strengere krav til sletting, endrer måten virksomheter må jobbe på. Den nye forordningen stiller også strengere krav til hvordan man innhenter samtykke til behandling av personopplysninger, og samtykke fra foresatte i forbindelse med opplysninger om mindreårige.

De nye kravene forutsetter at man innfører nye rutiner for hele virksomheten. Behandling av personopplysninger krever dokumentasjon, og rutinene for innsamling og lagring må være på plass. Det er nødvendig å ha oversikt over hvilke typer personopplysninger virksomheten behandler, og også hvem som har tilgang. Nye krav til konsekvensanalyse forut for behandlingen gjør det nødvendig å kartlegge hvilke opplysninger man har fra før, og innføre gode rutiner og dokumentasjon før fortsatt behandling av personopplysninger.

 

Tenk personvern i alle ledd

Privacy by design er kommet for å bli. Innebygget personvern, som det også kalles, handler om å ta hensyn til personvern i alle faser, prosesser og systemer. Hittil har dette kun vært anbefalt som beste praksis av Datatilsynet, men blir påbudt i ny forordning. Det betyr at personvernhensyn skal være med å påvirke løsningene som velges, og standardinnstillingen skal være det minst inngripende i den enkeltes personvern. Innebygget personvern oppnås gjennom både tekniske og organisatoriske tiltak i virksomheten, basert på en konkret vurdering av konsekvenser ved avvik, hensiktsmessighet og juridiske krav.

Utvidelsen av individers rettigheter kan medføre tekniske utfordringer for mange virksomheter. Data om enkeltpersoner må enkelt kunne fjernes helt fra systemet, for eksempel ved forespørsel eller dersom behandlingsgrunnlaget opphører. Ved anskaffelse av nye IT-løsninger bør man derfor allerede på bestillingstidspunktet ta høyde for nye krav ved utforming av løsningen, og sørge for at personopplysninger kan segmenteres, slettes, og hentes ut uten ekstra kostnader for virksomheten.

Aktuelle tiltak er også å justere hvem som kan se personopplysningene, slik at kun de med reelt behov har tilgang, og revidere rutinene for dette jevnlig. For større virksomheter er det et krav om å etablere personvernombud som skal bidra til at virksomheten som helhet oppfyller de nødvendige minimumskrav. Virksomhetsansvaret øker med det nye regelverket, men det fritar heller ikke databehandlere og underleverandører. På bakgrunn av de nye reglene bør man vurdere hvilke aktører man samarbeider med. Det er ikke gunstig å inngå avtaler med leverandører i dag, som ikke vil oppfylle de nye personvernreglene når de implementeres.

 

Konkurransefortrinn

Dataportabilitet medfører at individer kan ta med seg sine data mellom forskjellige systemer og tjenester, og blir påbudt ved ny lov. Kunder kan enklere bytte leverandør, men det vil også bidra til økt konkurranse, og kunne åpne dører for flere virksomheter. Med informasjonsplikten kommer også nye krav til personvernerklæringer, hvor tidligere krav strammes inn og nå lovfestes. Personer skal ha enkel og tilgjengelig kunnskap om virksomhetens behandling av personopplysninger, og en slik erklæring bør ligge synlig og lett tilgjengelig på virksomhetens nettside.

Noen av reglene som kan få store konsekvenser er pålegg om å informere kunder om sikkerhetsbrudd, og et høynet bøtenivå til opptil 4 prosent av global bruttoomsetning. Det vil ikke være populært å sende beskjed til alle kunder om et brudd på kravene til behandling av personopplysninger, og personvern i enhver virksomhet bør heretter tas på alvor. 

 

Forberedelsene bør starte nå

Virksomhetene vil dra stor nytte av å tenke godt og grundig om personvern allerede nå. Med stigende bevissthet om personvern bør dere benytte anledning til å skape et konkurransefortrinn. Hele virksomheten bør involveres i endringene, og bli oppdatert på nye krav.

Vi anbefaler virksomhetene å starte med tre ting: Det første er å kartlegge personopplysninger dere behandler i dag, og sørge for at dere kan dokumentere grunnlaget for videre behandling av opplysningene. Det andre er å sørge for at dere oppfyller dagens lovkrav til personvern, og Datatilsynets anbefalte praksis. Tredje steg er å allerede nå innføre gode rutiner, som hele virksomheten kjenner og følger, og gjennomgående tenke personvern i alle relevante prosesser.

Spør oss om personvern!

Var denne siden nyttig?