EUs forordning for personvern (GDPR) blir en del av personvernloven i juli 2018. Lovendringen medfører betydelige skjerpelser i hvordan norske virksomheter kan samle og oppbevare personopplysninger.
Vi lagrer mer informasjon om hverandre nå enn noen gang før. Formålet med GDPR er at bedrifter skal ta en større del av ansvaret for at denne lagringen skjer innenfor forsvarlige rammer sier advokat Peter Wright
GDPR stiller betydelig strengere krav til bedrifter som lagrer personlige opplysninger. Både i form av konkrete sikkerhetstiltak mot digitale angrep, så vel som ansvar for at det er etablert en solid og gjennomtenkt internkontroll. Brudd på forordningen kan medføre personlig ansvar for ledelsen, med sanksjoner opp til 4 % av selskapets globale omsetning. Kombinasjonen med at det opprettes særlige kontrollorganer, tilsikter at norske bedrifter har en klar oppfordring til å etterleve lovendringen.
Berømmer lokale bedrifter for tidlig innsats
Wright er partner ved Advokathuset Just i Mo i Rana, og har igjennom det siste halve året sett at bedrifter i Nord-Norge har begynt å ta IT-sikkerhet på alvor. Vår personvernkompetanse har aldri vært mer etterspurt, og vi bistår nærmest daglig i implementeringsarbeidet for GDPR i store og mellomstore bedrifter beskriver Wright.
– Det interessante med forordningen er at nesten alle er involvert, legger advokaten til.
Oppdragene spenner seg fra de som bare trenger en dytt i rett retning – og kanskje en sparringspartner underveis, til de store selskapene regionen vår har å by på: Dette er virksomheter som behandler data om kunder og samarbeidspartnere, om ansatte, deres lønn, sykdom og familiesituasjon. De behandler også data om kunder og leverandører som strekker seg både internt i EU og utenfor.
Utvider begrepet personopplysninger
Når GDPR trår i kraft i juli 2018 utvides det ordinære begrepet «personopplysninger». Nå er det ikke bare de klassiske opplysningene om navn, fødselsnummer og adresse som inngår. All informasjon som er egnet til å identifisere en person eller et privat selskap rammes, også digitale kjennetegn som IP-adresser, mailadresser, brukernavn/pseudonymer, passord og lignende.
Hvis din bedrift behandler slike opplysninger, vil selskapet få nye plikter med den nye forordningen.
Rettslig grunnlag for å behandle personopplysninger – unngå samtykkehysteriet
Lovlig behandling av personopplysninger forutsetter at lagringen har et rettslig grunnlag. Unngå samtykkehysteriet er det klare råd fra Advokat Wright. Forordningens artikkel 6 opplister de grunnlag bedriften kan bruke for å behandle personopplysninger. Lagring for å oppfylle en avtale, en rettslig forpliktelse eller en berettiget interesse er nok de grunnlagene som rammer bredest.
Samtykkeerklæringer er bare ett av grunnlagene, men det som så langt har fått mest fokus. Inntrykket så langt at det går på bekostning av andre viktige deler av implementeringsarbeidet. Et delmål for forordningen er å begrense lagring av personopplysninger til det nødvendige. Må du veien om en samtykkeerklæring bør du spørre deg om du kanskje angriper problemstillingen feil, mener Wright
Sikkerhet for opplysningene
Det som kanskje mest av alt bør være fokus er sikkerheten for opplysningene. GDPR handler hovedsakelig om å etablere god nok sikkerhet for de opplysningene vi blir betrodd.
Informasjon på avveie kan misbrukes, og det er kun fantasien som setter begrensninger på hvordan.
Vi gir ifra oss ganske viktig informasjon om oss selv, og som forbrukere må vi være trygge på at denne informasjonen blir behandlet på en forsvarlig måte, kommenterer Wright.
Alvorlige konsekvenser ved angrep
Ved Advokathuset Just opplever de regelmessig kontakt med klienter som har blitt utsatt for angrep. Metodene som brukes blir mer avanserte og angrepene rammer hardere. Vi har eksempler på tilfeller hvor lokale bedrifter har fått korrumpert regnskapsfiler og blir avkrevet løsepenger. Angrepet har skjedd lang tid i forveien, og derfor er også alle anvendelige backupfiler korrumperte.
Vi ser også en økt pågang på tilfeller hvor våre klienter har fått benyttet egne e-postadresser til falsk kontakt med sine kunder. Årvåkne kunder har meldt tilbake at e-postene kommer fra troverdige kilder, men når e-postene skal besvares fremkommer det en annen og mer anonym mottakeradresse.
– Ut ifra det vi kan se av språkbruk og hvilke adresser angriperne har siktet seg ut – fremstår det som om de har tilgang på korrespondanse som har vært over lang tid og siktet seg inn på personer med hyppig, viktig og uformell kontakt. Opprydningsarbeidet etter slike manipulerte henvendelser er tidvis svært omfattende, advarer Wright
Om du opplever hacking, avvik eller sikkerhetsbrudd skal den nye tilsynsmyndigheten varsles innen 72 timer.
Kom i gang!
For de fleste vil arbeidet med å implementere den nye personvernloven gå forholdsvis smertefritt, mener Wright. Begynn med de grunnleggende kravene, så vil resten følge naturlig etter.
Personvernsarbeidet skal dokumenteres og kunne oversendes kontrollmyndighetene ved forespørsel. Wright har følgende anbefalinger til de som ikke allerede er kommet i gang:
1. Få oversikt over hva som er personopplysninger – og hva din bedrift behandler. Slett det du ikke trenger. Samle alt relevant avtaleverk slik som med de som leverer dine datatjenester.
2. Finn ut hvilken rett du har til å lagre informasjonen, undersøk primært andre grunnlag enn samtykke.
Bruk grunnlaget ditt fra punkt 1 og 2 til å lage «personvernserklæring» (se artikkel 13 og 14)
3. Begynn risikovurderingen. Hva lagres, hvorfor, hvilke sikkerhetstiltak finnes, og hva er konsekvensene ved brudd. Hvor sikker er overføringen av informasjonen mellom brukere.
4. Involver hele bedriften i tankegangen for en god internkontroll og ta jevnlig en fot i bakken for å vurdere om det har skjedd endringer eller utviklinger.
– Finnes det en bransjestandard for din virksomhet?
Gode bransjepraksiser vil være uvurderlige hjelpemidler – lær av hverandre.
