GDPR-bloggen

Personvern er ikke bare en compliance risiko, det er en forretningsrisiko. Kanskje det er på tide å behandle den som det også?

Alle virksomheter er til enhver tid ansvarlig for at behandlingen av personopplysninger er sikker og lovlig. Selv når behandlingen overlates til en databehandler, plikter begge parter å sikre at GDPR etterleves i alle ledd (se f.eks. art. 5 nr. 2, art. 24, art. 28, mv.).

Som enkeltpersoner forventer vi at biler testes før ny funksjonalitet blir sluppet, hvorfor skal vi da akseptere nye behandlinger av våre opplysninger før risikoen er ordentlig vurdert.

I GDPRs kapittel 3 om de registrertes rettigheter er det skrevet mye om våre rettigheter til innsyn, retting og sletting. Det som ikke har vært fokusert så mye på er artikkel 19 - underretningsplikten.

For å lykkes med digitale endringsprosesser er det behov for å se prosjektledelse, arkitektur og design i sammenheng med personvern og informasjonssikkerhet.

Er du leverandør av løsninger hvor du, eller noen av dine underleverandører, overfører personopplysninger mellom EU/EØS og USA? Da må du være forberedt på at dine kunder nå vil vurdere om de kan fortsette å bruke deg og dine underleverandører, og om det er mulig å få på plass et alternativt rettslig grunnlag for overføring.

Sandefjord kommune lever opp til sin visjon ”Sammen fremover” også innenfor sine digitale satsninger. Helt fra sammenslåingen med kommunene Andebu og Stokke i 2017 har det vært en tydelig satsing på digitalisering innenfor alle virksomhetsområder.

6,5 millioner portugisere rakk å oppgi sensitive personopplysninger i den obligatoriske folketellingen 2021 før CNPD (National Data Protection Commission) ga INE (National Institute of Statistics) en frist på 12 timer til å få sikkerheten på plass eller stoppe innsamlingen. Personopplysninger fra hele Portugals befolkning sto i fare for å bli overført til USA, eller andre tredjeland, uten et tilsvarende nivå av databeskyttelse som innenfor EU.

Schrems II-dommen har avdekket at det kan være stor forskjell på kart og terreng i forretningsverdenen. Rutiner og rapporter for økonomien følges nitidig opp, mens personvern og personopplysninger ofte er redusert til dokumentasjon som sees over og revideres en gang i året. Innføringen av GDPR var til da EUs kraftigste tiltak for å rydde opp i en stadig mer ruskete holdning til personopplysninger - nå viser Schrems II at det er behov for mye høyere presisjon i håndtering av personvernet enn hva som praktiseres.

Da GDPR ble innført våren 2016 ble det lovet kraftige sanksjoner for de som ikke overholder regelverket. Nå ser vi at dette ikke var tomme løfter. Google, Grindr, British Airways og PWC er bare noen av de internasjonale kjempene som må betale betydelige summer i overtredelsesgebyr. Også her hjemme har flere kommuner og offentlige virksomheter blitt ilagt bøter i millionklassen. Og flere skal det bli. Datatilsynet har varslet en rekke flere bøter i 2021, både til offentlig og privat sektor.

Ved introduksjonen av den nye personvernforordningen brukte virksomheter mye tid på å sette seg inn i regelverket, kartlegge personopplysninger, gjøre risikovurderinger og oppdatere rutinebeskrivelser for å møte kravene. Flere måtte også bytte ut eller oppgradere systemene de bruker til behandling av personopplysninger. Det ble også brukt mye tid på å forhandle databehandleravtaler og innhente dokumentasjon. Nå, over to år senere, har forståelsen av regelverket modnet og det som var ansett som akseptabel dokumentasjon av etterlevelse i 2018, er ikke lenger tilstrekkelig.

Etter innføringen av GDPR i 2018 har en rekke virksomheter opplevd hvor ressurskrevende det er å sikre etterlevelse av regelverket. En av utfordringene er databehandleravtaler. Mange har brukt, og fortsatt bruker, mye tid på å både forhandle- og å opprette slike avtaler. Endelig har det kommet en standard databehandleravtale som kan benyttes, men likevel foreligger det utfordringer med innhold i selve avtalen og hvordan databehandler skal forholde seg til sine forpliktelser etter avtalen i praksis.

– Før samarbeid med ICONFIRM hadde vi verdens lengste og bredeste Excel-ark som var tungvint å jobbe i.

Etterlevelse av GDPR i verdikjeden - virksomhetens ansvar

Mange organisasjoner har definerte regler eller prinsipper for valg av leverandører og samarbeidspartnere. Ordnet økonomi, riktig bruk av arbeidskraft, mangfold i ledelsen, nødvendige konsesjoner eller fagbrev er eksempler på kriterier som brukes. Nå bør også personvern legges til.

Den 28 januar 2020 var den internasjonale personverndagen. Drøye 4 år etter at GDPR ble besluttet og 18 måneder siden forordningen ble gjeldende er det interessant å gjøre opp en status.

Usikker på hva GDPR er, se vår korte GDPR-video

Det har vært mye snakk om GDPR de siste to årene - spesielt gjennom 2018 - og det har vært brukt mange komplekse ord og uttrykk for å forklare denne loven. Men hva innebærer GDPR egentlig, og hvilken betydning har det for deg og din bedrift?

Enhver bedrift må vurdere hvilke opplysninger som faktisk behøves for å oppfylle det gitte formålet - denne vurderingen må i tillegg være dokumentert. Men hva innebærer egentlig vurdering og dokumentering, og hva betyr det for din bedrift i praksis?

Da GDPR trådte i kraft før sommeren 2018 var det mange bedrifter som gjorde en stor innsats for å bli klare for denne personvernsforordningen. Loven krever også at det demonstreres etterlevelse over tid. Din bedrift må derfor klare å etterleve GDPR-kravene, helst uten at det byr på masse ekstra arbeid, ressurser eller høye kostnader.

Selv om GDPR kanskje høres skummelt ut for deg som plutselig har fått det som ansvarsområde, så er det viktig å tenke på en ting: GDPR er til for å beskytte enkeltpersonen og deres opplysninger. Først når du klarer å se GDPR fra enkeltpersonens perspektiv vil du kanskje få opp forståelsen for hvorfor det er så viktig å etterleve. Men hva er det egentlig som ligger til grunn for rettighetene du har som enkeltperson?

For de fleste av oss handler hverdagen om prioriteringer, i jobb og privatliv. Ofte gjøres prioriteringene ut fra hva som oppfattes som viktigst. I den vurderingen er det alltid ubalanse mellom de konkrete ‘her-og-nå’ problemene fremfor mulige fremtidige. Hvis oppgavene i tillegg oppfattes som vanskelige er det lett å skyve på de i prioriteringene. 

Dugnadsånd står sterkt i Norge og store samfunnsoppdrag løses gjennom de frivillige. Hvilke krav kan stilles til personvernet og hvor godt forberedt er egentlig organisasjonene? 

Er det noe du ikke kommer utenom når du skal sette deg inn i nye lover og regler så er det, ja, vanskelige ord og uttrykk. Det følger sjelden med en ordliste som forklarer eller utdyper ordene som gjør at du må stoppe opp.

Personvernforordningens artikkel 25 stiller krav om innebygd personvern og personvern som standard. For en daglig leder eller styreleder som ønsker å følge loven kan dette være ganske krevende å sette seg inn i.

Sitter du med ansvaret for GDPR i din bedrift og sliter med å etterleve kravene for innhenting, lagring og bruk av personopplysninger? Heldigvis finnes det profesjonelle leverandører av GDPR-programvare som kan hjelpe deg – og her er de viktigste tingene du må tenke på når du skal velge en samarbeidspartner.

2018 var året hvor mange ble oppmerksomme på personvern og GDPR. Det var stadig artikler i media, bransjearrangementer og gode råd på hvordan man skulle angripe utfordringene som det nye regelverket introduserte.

Mange bedrifter gjorde en stor innsats før sommeren 2018 for å bli klare for EUs General Data Protection Regulation (GDPR). Men, loven krever at man også må kunne demonstrere etterlevelse over tid.

Menneskerettigheten personvern handler om retten til et privatliv hvor man som enkeltmenneske kan handle fritt uten tvang eller innblanding fra staten eller andre mennesker. GDPR ble innført for å styrke personvernet og individets rett til å bestemme over egne personopplysninger. Det vil si at all bruk av andres personopplysninger er i utgangspunktet ulovlig, med mindre man oppfyller alle krav i personopplysningsloven.

GDPR (General Data Protection Regulation) ble innført i 25. mai 2018 og regulerer virksomheters innsamling, bruk og oppbevaring av persondata. I tillegg gir den enkeltpersoner rett til å se, begrense og kontrollere hvilke personopplysninger som registreres.