I mai blir EUs nye personvernforordning en del av norsk lov. Det gjør at virksomheter må ha rutiner for hvordan de håndterer personopplysninger. Har du kontroll?


Publisert 06.03.2018


Den nye personvernforordningen medfører en noe strengere praksis på hva norske virksomheter kan samle og oppbevare av personopplysninger, men mest av alt kan konsekvensene – sanksjonene – bli større dersom loven ikke etterleves. Det varsles samtidig kontroller og nye kontrollorganer, slik at brudd lettere enn tidligere kan oppdages. Likevel, for de aller fleste bedrifter vil det gå ganske greit å etterleve de nye reglene. – Det man må begynne med er å identifisere hva man har og hva man gjør med personopplysninger, og man må ha et særlig forhold til hva personopplysninger er, sier Peter Wright, advokat i Advokathuset Just.

«Lagre så lite som mulig, så trygt som mulig.»

– Etter den nye forordningen er personopplysninger alt som er egnet til å identifisere en person både fysisk og digitalt. Både ”klassikerne” som navn, personnummer og adresse, men også rene digitale opplysninger som IP-adresse, e-postadresse, brukernavn og passord. Formålet er at virksomheter skal ta mer ansvar for den stadig økende mengden data som lagres og prosesseres.
– Det må lages retningslinjer for hvordan man tar vare på den informasjonen som man blir betrodd. Vi gir fra oss ganske viktig informasjon om oss selv og må ha tillit til at den informasjonen blir behandlet på en forsvarlig måte, sier Wright.
Han mener det snakkes for mye om samtykkeerklæringer – at den som gir fra seg informasjonen samtykker i at den kan lagres.
– Det virker som mange vil være på den sikre siden gjennom å hente inn samtykkeerklæringer, i stedet for å gjøre en kvalitativ vurdering av hvilket rettslig grunnlag man ønsker å lagre denne informasjonen. Dette er egentlig i strid med formålet med forordningen – å lagre så lite som mulig, så trygt som mulig, sier Wright.
– Gjennom forordningens egen artikkel 6 vil det være hjemmel for å lagre en del personopplysninger. Dersom man likevel føler man må hente inn samtykkeerklæring, må man kanskje spørre seg selv om informasjonen virkelig må lagres.
Wright oppfordrer til å involvere alle i bedriften med rutinene for håndtering av personopplysninger.
– På den måten kan man lære opp og støtte hverandre. Digital sikkerhet blir viktig framover, sier han.
– Hva den enkelte bedrift konkret skal gjøre, må vurderes ut fra hva man har av personopplysninger. Det enkleste er å se om det er en bransjestandard. De fleste bransjeorganisasjoner er godt i gang med å utarbeide standardmateriell. Så må man se om det er spesielle forhold i egen virksomhet som gjør at man må ha noe ut over standarden.
Wright mener det bare er å komme i gang, de fleste virksomheter vil klare å jobbe seg gjennom dette på egen hånd.
– Digital sikkerhet er noe vi aldri kommer til å bli ferdig med. Rutinene man opparbeider må revideres jevnlig, sier han.

Bli med på næringslivslunsjen 15. mars på Fjordgaarden kl 11.30-12.30, da vil Wright presentere personvernreglene og svare på spørsmål.

PERSONVERNUTFORDRINGEN


  • EUs The General Data Protection Regulation (GDPR), personvernforordningen, blir fra 25. mai en del av norsk lov.
  • Omfatter aktører som behandler data om kunder og samarbeidspartnere, om ansatte, deres lønn, sykdom, familiesituasjon – og om kunder og leverandører både innenfor og utenfor EU, samt aktører som tilbyr databehandlingstjenester, samt manuell og automatisk analyse av brukere til særlige formål hvor informasjonen kanskje er hentet både fra personen selv og via tredjepartstilbydere.
  • Det må etableres rutiner og kontroller for å sikre at alt av informasjon om personer er så trygg som mulig.