Datatilsynet har ilagt Ferde AS et overtredelsesgebyr på NOK 5 millioner og peker blant annet på uaktsomhet hos styret. Ferde satt behandlingen av sladdede bilder fra bompasseringer til en databehandler utenfor EØS, uten å kunne påvise at det var gjort risikovurderinger, inngått gyldig databehandleravtale eller sikret gyldig grunnlag for overføring av data ut av EØS.
Mens bærekraft får mye oppmerksomhet når investeringer diskuteres, viser denne saken behovet for også å sette søkelyset på virksomhetsstyringen (Governance).
Ferde er nok på ingen måte enestående og saken burde være en kraftig vekker for veldig mange. Gebyret kan ses på som likegyldighetens pris – når ledelse og styret tar for lett på GDPR.
Delegert ansvar uten ressurser og mandat løser ikke problemet.
Personvern har kommet høyere på agendaen de siste årene, men dessverre er det fortsatt mange som tenker at dette er noe for spesielt interesserte. Det praktiske ansvaret blir ofte delegert til enkeltpersoner i administrasjonen, uten direkte knytning til forretningsdriften og uten tilstrekkelige ressurser, kompetanse eller mandat. Med tanke på at GDPR kanskje er den mest gjennomgripende reformen i morderne tid, er det interessant å se en oppfatning av at alt skal løses på magisk vis. I styrets og ledelsens løpende prioritering glimrer oppfølging av personvern med sitt fravær og det er forventet at juridisk og/eller IT-sikkerhet ivaretar dette. Men, på samme måte som at virksomhetens resultatansvar ikke tillegges regnskapskontoret, kan ikke juristene eller IT-sikkerhet holdes ansvarlig for personvernet. Personvern må sees på som en del av løpende forretningsdrift og innarbeides i virksomhetsstyringen.
I dag er det mange som slår seg til ro med at ledelsen sier de har god oversikt og kontroll på personvernet, men hvilke kontrollspørsmål stilles og hvordan rapporteres det?
Datatilsynets personvernombudsundersøkelse viser at det står dårlig til i norske virksomheter. I utgangspunktet skulle man tro at virksomheter som har utpekt personvernombud også ville ta dette mer på alvor, men selv der viser flertallet at det ikke er noen strukturert oppfølging, hverken via skriftlige rapporter eller møter og kun et mindretall rapporterer at ledelsen er interessert, eller svært interessert, i personvernarbeidet til ombudet. Da er det ikke vanskelig å tenke seg hvilken status det er i øvrige virksomheter.
Men, at andre følger en praksis som ikke tilfredsstiller lovkravet er vel ikke en grunn til å bryte loven selv? Og, det er all grunn til å tro at praksis vil endres, både ut fra hva loven dikterer, men også ut fra de saker som behandles i datatilsynene og domstolene. For eksempel stiller Schrems II-dommen i Europadomstolen krav til en vesentlig bedre presisjon i dokumentasjon og grunnlag for hvor personopplysninger behandles, også blant en virksomhets underdatabehandlere. Ferde-saken plasserer ansvaret og bevisbyrden utvetydelig på øverste ledelse og styret:
«Den aktuelle behandlingen av personopplysninger ble gjennomført uten at det forelå databehandleravtale, risikovurderinger eller overføringsgrunnlag for overføring av personopplysninger til Kina. Datatilsynet anser at dette må karakteriseres som klart uaktsomt å ikke ha på plass disse sentrale instrumentene etter personvernregelverket og Ferde som behandlingsansvarlig har ansvar for å sørge for at alle plikter etter personvernforordningen er oppfylt jf. personvernforordningen artikkel 5 nr. 2 (ansvarlighetsprinsippet). Videre legger vi til grunn at ansvaret ligger hos styret i Ferde AS, jf. aksjeloven § 6-12 første ledd første punktum og aksjeloven § 6-30. Vi understreker styrets tilsynsansvar med selskapets virksomhet jf. aksjeloven § 6-13. Denne uaktsomheten tillegges styret ved styreleder som må anses som å ha opptrådt på vegne av selskapet.»
Kilde: Datatilsynets vedtak om overtredelsesgebyr, pkt 6.1b
Det er flere interessante nyanser ved denne saken, så det anbefales å lese vedtaket i sin helhet. Det tar ikke lang tid og vil gi god innsikt.
Det må altså legges opp til gode kontrollrutiner for å sikre at personopplysninger behandles i tråd med regelverket. I en hverdag hvor digitalisering står sentralt og ny teknologi introduseres og tas i bruk fortløpende, er det derfor helt nødvendig å legge inn rutiner for å ivareta og dokumentere personvernet. Hva betyr dette i praksis?
La oss bruke økonomi og regnskap som et eksempel og en god parallell. De fleste virksomheter har et godt styringssystem for å følge opp økonomien, har klare regler for hvem som kan ta beslutning om økonomiske forpliktelser og hvilke vurderinger som må ligge til grunn. Nye aktiviteter, anskaffelser eller endringer vil alle vurderes fra et økonomisk perspektiv før de iverksettes. Det vil aldri ansettes en leder som ikke har et forhold til økonomistyring. Det samme burde gjelde for personvern. Hvorfor? Fordi personopplysninger kan sees på som en valuta med stor verdi og hvor et avvik kan ha vesentlig større betydning for virksomheten enn kroner og øre. Feil behandling av personopplysninger kan medføre i) tap av omdømme og tillit, ii) tap av forretning om kunder ikke får tilfredsstillende dokumentasjon iii) at grunnlaget for virksomheten bortfaller eller i hvert fall blir kraftig redusert dersom forretningsgrunnlaget innebærer ulovlig behandling av personopplysninger og iv) bøter fra myndighetene og søksmål fra registrerte.
|
1 |
Personopplysninger: alle opplysninger som kan knyttes til en enkeltperson, enten direkte eller indirekte. Behandling: enhver operasjon, eller rekke av operasjoner (innsamling, sletting, lagring, sammenstilling, konsultering, bruk, utlevering etc som gjøres med personopplysninger. Det betyr at personopplysninger behandles i alle prosesser og systemer. |
|
2 |
Kontantstrøm står sentralt i fastsettelsen av en virksomhets verdi. Virksomheter bruker data til å optimalisere prosesser og forbedre kontantstrøm. Men, er behandlingen lovlig og kontantstrømmen bærekraftig? |
|
3 |
Lovens ansvarlighetsprinsipp dikterer at virksomheten må kunne påvise etterlevelse av regelverket. Kan dere enkelt dokumentere at all behandling er lovlig? Hvor godt styringssystem har dere på bruk av data i deres virksomhet? |
Ferde kunne ikke dokumentere at de hadde gjort tilstrekkelige vurderinger, ei heller avtaler før de startet å bruke en databehandler som oversendte opplysninger til Kina. Dette er ikke unikt for Ferde. De fleste virksomheter benytter et stort antall fagsystemer for forskjellige formål. De fleste av disse systemene er satt sammen av tjenester som leveres av underdatabehandlere som igjen kan behandle opplysninger utenfor EU /EØS. Dette kan være et problem og stiller utvidet krav til vurderinger og dokumentasjon.
Hva bør man gjøre? På samme måte som man ville ha angrepet manglende kontroll på økonomien er det nødvendig med konkrete kortsiktige tiltak og noen mer langsiktige som etter hvert flyter i hverandre. Nedenfor listes det opp noen forslag til tiltak.
I en hektisk hverdag kan dette virke overveldende. GDPR er et gjennomgripende regelverk og om alle deler av regelverket skal være oppfylt vil det kreve store ressurser, mye rapportering og ad-hoc arbeid. Samtidig, for de i virksomheten som sitter tettest på de enkelte aktivitetene og har ansvaret for disse så er selve arbeidet for å beskrive hva de gjør antagelig ganske enkelt. På samme måte vet systemleverandørene godt hvordan sikkerheten i løsningene deres er ivaretatt. Så, om arbeidet organiseres fornuftig, vi belastningen på hver især ikke være stor samtidig som virksomheten samlet får et stort løft.
Ansvarlighetsprinsippet krever at virksomheten fortløpende kan påvise etterlevelse. Å løse dette manuelt er veldig krevende og lite konstruktivt. På samme måte som at virksomheten investerer inn i et regnskapssystem for løpende oversikt og automasjon finnes det systemer for operativt personvern som på en smart måte kan innarbeides i løpende prosesser. Iconfirm har gjennom de siste 4 årene utviklet en samhandlingsplattform for operativt personvern som gir virksomheter god oversikt, styring og kontroll uten at det blir en stor ekstra belastning for virksomheten.