Blogg

Blogg

Styrket personvern, - tilpasset den digitale hverdagen, og bøter som kan svi.

av Elisabeth Rustand

Double exposure of business man hand working on blank screen laptop computer on wooden desk as concept.jpeg

Ny personvernforordning fra EU er vedtatt. Dette påvirker rettstilstanden i Norge. Nye regler vil innebære strengere krav til compliance og medføre en økt risiko for virksomheter som ikke har gode nok personvernrutiner. Som bedriftsleder må du ha et bevisst forhold til hvilke personopplysninger din virksomhet håndterer, hvor personopplysninger lagres, hvilke skytjenester bedriften bruker og hvordan dataene brukes. Personvernansvaret må ut av datarommet og inn på styrerommet.

"Personvernreglene kommer til å endres og du må ta dem på alvor", – sier Kirill Miazine i Føyen Torkildsen AS. "Alle er Kirill Miazinei dag opptatt av korrupsjon og hvitvasking. Personvern og lagring av data vil bli minst like stort ", – sier Miazine. Vi har hatt en prat med han om de nye reglene og hvilke konsekvenser de vil gi for norske bedrifter. Føyen Torkildsen AS har spesialisert seg på personvern og ønsker å sørge for at bedrifter ikke kommer i uføre.

 I prinsippet vil de nye reglene om personvern gjelde de aller fleste bedrifter, fordi man behandler personopplysninger elektronisk. Lagrer du f.eks. kundedata på en server eller prosesserer du data om de ansatte i et datasystem – da er du omfattet. I den digitale verdenen ser vi også at flere og flere samler, lager og overfører personopplysninger gjennom skytjenester. Konsekvensene av man ikke har full kontroll over dette ”landskapet” er mange antakelig ikke kjent med.

 

Hva er personopplysninger?

Litt forenklet er det alle opplysninger eller vurderinger som kan knyttes til en enkeltperson (f.eks. navn, adresse, personnummer, e-postadresse, bilnummer). Adferdsmønster regnes også som personopplysninger (f.eks. hvor du handler, hva du søker på nettet, hva du ser på TV og mye mer). Sensitive personopplysninger er også en del av bildet (f.eks. rasemesssige opplysninger, etnisk bakgrunn, politisk oppfatning med mer).

Datatilsynets forklaring på hva personopplysninger er finner du her.

Det er av stor viktighet hvem som behandler data og hvor du lagrer dem

Dersom du lagrer personopplysninger utenfor din egen virksomhet (f.eks. i en skytjeneste) eller det er personer som jobber med dataene for deg og sitter i et annen land er det all grunn til å dobbeltsjekke situasjonen. Dersom det foregår lagring eller behandling av data i land der personopplysninger ikke er like godt sikret som i Europa er du fort på tynn is. Et eksempel på alvoret er den nylige dommen i EU-domstolen som kjenner Safe Harbour avtalen for overføring av data mellom EU og USA som et ugyldig grunnlag for overføring av personopplysninger til USA. Les mer om Safe Harbour her.

Dersom du har avtaler med eksterne leverandører som overfører data til amerikanske selskaper anbefaler vi at du leser mer om hva du bør gjøre her:

Hva innebærer de nye EU-reglene og hva skjer for oss i Norge?

  • Det blir større frihet og færre formelle krav, det vil f.eks. ikke komme til å kreves å sende melding til Datatilsynet før man begynner å håndtere personopplysninger.
  • Det blir derimot høyere krav til dokumentasjon og internkontroll.
    • Som bedriftsleder må du kjenne til de personopplysningene bedriften samler inn og håndterer:
      • Hva har du og hva samles inn av personopplysninger?
      • Hvilke tjenester brukes?
      • Hvordan skal dataene brukes, hvem håndterer dem (internt og eksternt)?
      • Hvor er dataene lagret - i hvilket land?
      • Hvor sitter de som jobber med dataene?
      • Hvordan er rutinene for sletting av data og hva hvis data kommer på avveie?
    • Det blir svært viktig å ha et bevisst forhold til hvordan bedriften skal møte henvendelser om innsyn. Bedriften bør ha en dedikert person som sikrer rutinene og har du mer enn 250 ansatte eller håndterer informasjon om 5000 personer eller mer, vil de nye reglene kreve at du har et eget personvernombud.
  • Datatilsynets rolle kommer til å bli mer aggressiv; flere kontroller og vesentlig større sanksjonsmuligheter. Bøtene for å gjøre feil eller ikke ha full oversikt kan bli svært store. De nye personvernreglene vil gi myndighetene adgang til å gi bøter opp til 100 millioner euro eller inntil 5% av brutto global omsetning.
  • Databehandler (de som behandler data for deg) får større ansvar. Overføringer av personopplysninger til en leverandør skal reguleres i en databehandleravtale. "Altfor få har en slik i dag", – sier Miazine. "Velg en dataleverandør du stoler på og som er opptatt av å ta vare på dataene dine på best mulig og riktig måte i hht. loven", – fortsetter han.

Som vi innledet; det nye regelverket vil være tilpasset en digital hverdag, - en hverdag som er uoversiktlig og hvor det legges igjen spor over alt. Folk registrerer seg og godtar at du kommuniserer med dem. Og det gir din bedrift gode muligheter, men også et stort ansvar. Økende bruk av skytjenester og at ansatte også kanskje opererer på egenhånd må strammes inn. Du må ha kontroll og rutiner! Les mer om skytjenester og hva du må passe på på Datatilsynets personvernblogg.

Det er bedriftsleders ansvar at det lages rutiner for personvern i bedriften.

Det vil alltid være daglig leders ansvar at bedriftens lovmessige forhold overholdes og at de nødvendige dokumentasjoner og avtaler er gjennomført og ivaretas. Det nye landskapet er, som sagt komplisert og uoversiktlig og det kan være lurt å søke støtte hos noen som kan dette. Som en start, anbefaler Kirill Miazine at du går gjennom Datatilsynets veiledning for internkontroll og informasjonssikkerhet . Alt dette er noe du må forholde deg til, det er en sterk anbefaling at dersom du ikke allerede er i gang med å lage rutiner og internkontrollsystemer for hvordan du behandler personopplysninger, gjør det nå.

Klikk her og last ned Datatilsynets veileder for interkontroll!

 

 

Lurer du på hvor du bør lagre data- (2)

En blogg fra Teknograd

Teknograd AS er et IT selskap som hver dag jobber for å sikre kundene de riktige IT-løsningene. Vi er lidenskapelig opptatt av at det skal fungere og at det er sikkert. Overlat ansvaret for IT løsningene til oss – så kan du bruke tiden på det du er god på.  Vi har stor tro på at høy kompetanse, god service og gjensidig tillit skaper det beste grunnlaget for et godt samarbeid. Vi er 20 ansatte, holder til i Oslo og ble etablert i 2002.

Få e-post om nye innlegg