I en tid der tjenester stadig blir mer tilpasset den enkelte eller personalisert, vil de som er gode på personvern kunne skape seg et konkurransefortrinn.
Selv om endringer ofte virker skremmende, er det på høy tid at personvernregelverket i Norge oppdateres til tiden vi lever i. Dagens regelverk trådde i kraft i 2000 og er basert på EUs personverndirektiv fra 1995. Det er altså laget før de før de fleste av oss engang visste hva internett var.
Teknologiutvikling skaper muligheter og utfordringer
Teknologiutviklingen går i et rasende tempo og gir oss stadig nye muligheter til raskere samhandling og effektivisering av oppgaver innenfor de aller fleste samfunnsområder. Men med nye muligheter følger nye utfordringer. Dagens personvernregelverk er for eksempel ofte vanskelig for de som har kunder i flere enn ett land eller som lagrer data i et annet land enn der de holder til. Det gjelder både om de lagrer dataene i egne lokaler eller hos underleverandører. Utfordringene er både knyttet til å oppfylle norsk lov, og til å måtte forholde seg til ulikt regelverk i de landene de har kunder eller lagrer data.
Samtidig åpner teknologien stadig for nye muligheter for innsamling, deling, lagring, sammenstilling og videreforedling av personopplysninger. Personalisering, kjøp og salg av personopplysninger har blitt egen industri. Det gjør det stadig vanskeligere for oss som enkeltpersoner å ha kontroll over hvem som vet hva om oss og hvorfor.
En oppdatering av personvern-regelverket er derfor helt nødvendig for å gjøre hverdagen lettere både for virksomheter og borgere. Mulighetene personopplysninger gir har også økt deres verdi. Dette har gjort det nødvendig å sikre at virksomheter tar sine kunder eller brukere (de registrerte) på alvor. De nye reglene åpner derfor opp for strengere straff for brudd på reglene enn i dag. Dette er et viktig politisk signal om verdien av personopplysninger og personvern.
EUs arbeid for et felles europeisk regelverk
For å styrke tilliten til digitale tjenester, gjøre det lettere å utveksle personopplysninger mellom land og å styrke EU borgeres rettigheter, startet EU i 2012 arbeidet med et felles europeisk personvernregelverk. Stikkordene de jobbet utfra var tillit, kontroll, sikkerhet og forenkling. Hovedintensjonen bak regelverket er å gjøre det lettere å utveksle personopplysninger over landegrenser og å styrke den individuelle innbyggers rettigheter. Arbeidet har tatt tid, men i april 2016 vedtok EU sin personvernforordning; General Data Protection Regulation eller GDPR. Den er såkalt EØS-relevant, som betyr at den også skal innføres i Norge. Derfor må vi i Norge forberede oss på at vi får nye personvernregler i mai 2018.
Hva betyr dette, og hvordan arbeides det med dette i Norge?
Norge har i dag et relativt strengt personopplysningsregelverk sammen-lignet med mange andre europeiske land. Det betyr at mye av dagens regelverk videreføres i de nye reglene.
Som alltid ved slike store endringer av regelverk, kan det virke tungt og vanskelig. Det kjennes kanskje utfordrende å få oversikt over hva dette betyr for nettopp deg, din virksomhet, sektor eller dine oppgaver.
En av de store administrative utfordringene med denne lovendringen er at regelverket skal være likt i alle land i Europa. Om du spør datatilsynene i Spania, Norge eller Belgia om noe, skal du få samme svar. Det krever mye, både av EU, datatilsynene, virksomhetene og i noen tilfeller også borgerne. For at dette skal komme på plass, jobbes det nå for fullt både i de norske departementene, EU og hos Datatilsynet for å utrede hva de nye reglene betyr i praksis. Datatilsynet har en egen nettside med informasjon om de nye reglene. Vi jobber ellers så fort vi kan med å utrede reglene, og så snart noe er avklart vil vi formidle det på nett, i nyhetsbrevet vårt og i andre kanaler.
Hva bør dere gjøre?
Akkurat som i dag, er det aller viktigst å ha en oversikt over hvilke type personopplysninger dere har i virksomheten deres. Regelverket gjelder kun for personopplysninger, men husk at det også innebærer opplysninger om egne ansatte. De aller fleste må derfor følge personopplysningsreglene.
Når dere har oversikt over hvilke opplysninger dere har, bør dere sørge for at dere følger dagens lovkrav. Gode rutiner som følges og er kjent for de som jobber i virksomheten er et nøkkelord for dette. Deretter bør dere sette dere inn i det nye regelverket og hva det betyr for nettopp dere. Når det er gjort vil dere ha en oversikt over hvilke endringer dere må gjøre og hvilke rutiner dere må få på plass for å følge reglene fra mai 2018.
Datatilsynet har også en egen e-postadresse for spørsmål om de nye reglene: nyeregler@datatilsynet.no.
______________________________
Her er de 10 viktigste endringene fra i dag til mai 2018
1) Alle norske virksomheter får nye plikter: Alle virksomheter må sette seg inn i den nye lovgivningen og finne ut hvilke nye plikter som gjelder dem. Ledelsen må sørge for å få på plass rutiner for å overholde de nye pliktene. Alle ansatte må følge de nye rutinene når reglene trer i kraft.
2) Alle skal ha en forståelig personvernerklæring: Informasjon om hvordan din virksomhet behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte. Det nye lovverket stiller strengere krav til informasjonens form og innhold enn dagens lovgivning. All informasjon som gis til barn, skal tilpasses barnas forståelsesnivå.
3) Alle skal vurdere risiko og personvernkonsekvenser: Dersom et tiltak utgjør en stor risiko for personvernet, må virksomheten også utrede hvilke personvernkonsekvenser det kan ha. Hvis utredningen viser at risikoen er stor og dere selv ikke kan redusere den, skal Datatilsynet involveres i forhåndsdrøftelser.
4) Alle skal bygge personvern inn i nye løsninger: De nye reglene stiller krav til at nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte. Dette kalles innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer.
5) Mange virksomheter må opprette personvernombud: Alle offentlige og mange private virksomheter skal opprette personvernombud. Et personvernombud er virksomhetens personvernekspert, og et bindeledd mellom ledelsen, de registrerte og Datatilsynet. Ombudet kan være en ansatt eller en profesjonell tredjepart.
6) Reglene gjelder også virksomheter utenfor Europa: Virksomheter som holder til utenfor Europa må også følge forordningen, dersom de tilbyr varer eller tjenester til borgere i et EU- eller EØS-land. Dette gjelder også om de ikke direkte tilbyr tjenester, men kartlegger adferden til europeiske borgere på nett. De som er etablert i flere land i Europa, skal bare trenge å snakke med personvernmyndighetene i det landet der de har
sitt europeiske hovedkvarter.
7) Alle databehandlere får nye plikter: Databehandlere er virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten. Ofte er det snakk om leverandører av IT-tjenester. De nye reglene pålegger databehandlere å ha rutiner for innsamling og bruk av personopplysninger. Databehandlere skal også si ifra til oppdragsgiveren sin hvis de får instrukser som er i strid med loven. Oppdragsgiver skal også godkjenne databehandlerens underleverandører. Databehandlere kan også bli holdt økonomisk ansvarlig sammen med oppdragsgiver.
8) Alle bør samarbeide i egne nettverk og følge bransjenormer: De nye reglene oppmuntrer til sektorvis utforming av retningslinjer og bransjenormer. Om dere følger bransjenormer, vil dere ha de viktigste rutinene på plass. Datatilsynet skal godkjenne bransjenormene.
9) Alle får nye krav til avvikshåndtering: Reglene for håndtering av sikkerhetsbrudd blir strengere. Forordningen stiller krav til når det skal varsles, hva varselet skal inneholde og hvem som skal varsles. Kort sagt skal man si fra raskere og oftere enn man gjør i dag.
10) Alle må kunne oppfylle borgernes nye rettigheter: Den enkeltes rett til å kreve at hans eller hennes personopplysninger slettes blir styrket. Dette kalles «retten til å bli glemt». Norske og europeiske borgere vil blant annet kunne kreve å ta med seg personopplysningene sine fra en leverandør til en annen i et vanlig brukt filformat. Dette kalles «dataportabilitet». De kan også motsette seg profilering. Alle henvendelser fra borgere skal besvares innen en måned.
Se Datatilsynet.no for mer informasjon om hva de ulike punktene innebærer.
___________
Tekst:Â Trude Talberg-Furlund fra Datatilsynet /Â Illustrasjon: Birgitte Blandhoel