shutterstock_712214458.jpg

EU`s forordning for personvern (GDPR - General Data Protection Regulation) blir norsk lov i 2018 og med det får vi nye regler for personvern. For virksomheter innebærer GDPR nye plikter, og for privatpersoner og forbrukere betyr det nye rettigheter. Vi har tatt for oss de viktigste områdene du bør ha kontroll på.

Fra kontroll til ansvarlighet

Du vil finne igjen mange av reglene og grunnprinsippene i GDPR i dagens lovverk (personopplysningsloven med forskrift). Blant annet at:

  • Det skal være et klart definert formål for behandling av personopplysninger
  • Opplysningene ikke skal brukes til annet enn det planlagte formålet
  • Prinsippene knyttet til integritet og konfidensialitet skal ivaretas

Datatilsynet poengterer imidlertid at det nye lovverket går i retning «fra kontroll til ansvarlighet». Det betyr at dagens melde- og konsesjonsplikt opphører, og at ansvaret i den enkelte virksomhet blir større.

Det blir altså opp til hver enkelt virksomhet å sørge for sikker og forsvarlig behandling av personopplysninger uten forhåndsgodkjennelse.

Konsekvensene ved å ikke følge opp kan bli betydelige, også økonomisk. Overtredelsesgebyrer blir vesentlig høyere enn i dag: Opptil 4% av konsernets omsetning, begrenset opp til 20 millioner euro.

Det lønner seg å ha ting på stell med andre ord.

Viktige områder i ny personvernforordning

Hvilke tiltak må jeg gjøre for å sikre at lovverket blir etterfulgt, tenker du kanskje nå. Hva er viktig?  Hvor skal jeg begynne?

Vi anbefaler deg til å ta en titt på følgende punkter for å se hvordan din virksomhet håndterer dette.

Behandling av personopplysninger

Kravene til hvordan virksomheter behandler personopplysninger blir strengere. Informasjon om hvordan opplysninger blir behandlet skal være lett tilgjengelig og skrevet på en lettfattelig måte – selv barn skal forstå det i de tilfellene det er nødvendig. Har dere dette på plass i dag?

DPIA (Data Protection Impact Assessment): Vurdér risiko

Alle virksomheter skal vurdere risiko og personvernkonsekvenser. Det betyr at du og virksomheten din selv må utrede og vurdere hvilke konsekvenser eventuell behandling av personopplysninger får for personvernet.

Privacy by default & design: Så personvernvennlig som mulig

Videre blir «innebygd personvern» i behandlingssystemer sentralt: Nye tiltak og systemer skal utarbeides på en så personvernvennlig måte som mulig.

Nye systems standardinnstilling skal være den innstillingen som er minst inngripende for personvernet.

Nye plikter for databehandlere

Dersom virksomheten din behandler personopplysninger på vegne av andre er dere forpliktet til å følge visse retningslinjer, blant annet gjennom å inngå en databehandleravtale.

Avvikshåndtering

Regler for rapportering av avvik blir også strengere. Alle avvik som skyldes datasikkerhet, skal meldes til datatilsynet innen 72 timer, med mindre det er usannsynlig at avviket medfører risiko for den enkeltes persons rettigheter eller personvern.

Personvernombud

Framt til nå har det vært frivillig å opprette personvernombud. Nå må imidlertid virksomheter som enten er offentlige, behandler sensitive personopplysninger i stor skala, eller overvåker europeiske borgere systematisk, ha et personvernombud.

Les også: Derfor bør du være opptatt av at inkassoselskapet ditt har et personvernombud

Reglene gjelder også utenfor Europa

Virksomheter utenfor Europa som selger varer og tjenester til EØS-borgere, eller jobber med kartlegging av borgere innenfor EØS-området må også følge reglene i den nye forordningen.

Internasjonale konsern må ta stilling til hvor de har sin «hovedetablering», da det normalt vil være tilsynsmyndighetene i dette landet de skal forholde seg til.

Les også: Har du kunder i utlandet? Dette må du vite om utenlandsinkasso

Nye rettigheter til folket!

Som jeg nevnte innledningsvis, får også privatpersoner og forbrukere nye rettigheter med den nye forordningen, og prinsippet «retten til å bli glemt» står sterkt. Dessuten har alle rett til:

  • Å kreve begrensninger knyttet til bruken av personopplysninger om en selv
  • At samtykkebaserte personopplysninger blir overført fra en tjenesteleverandør til en annen ved skifte av leverandør
  • Å motsette seg profilering begått av offentlige myndigheter og for markedsføringsformål
  • Å klage på avgjørelser tatt på bakgrunn av en profil dersom man ikke har samtykket til profilering
  • I enkelte tilfeller å motsette seg å få sine opplysninger behandlet

Barns rettigheter blir også styrket gjennom innstramming av regler for foreldres samtykke under en viss alder. Dette er knyttet til sosiale medier og andre nettbaserte tjenester.

Legg en plan

Punktene over dekker ikke alt du trenger å vite for å innfri kravene knyttet til GDPR. Men de er som nevnt viktige områder.

Begynn derfor med å stille deg noen spørsmål knyttet til områdene over. De kan være utgangspunkt for en videre plan:

  • Hvilke personopplysninger behandler vi?
  • Har vi en lettfattelig og god personvernerklæring som er lett tilgjengelig?
  • Hvilke rutiner har vi for risikovurdering og personvernkonsekvenser og hvilke endringer må gjøres for å tilpasse oss de nye kravene?
  • Hvilke datasystemer behandler vi personopplysninger i og hvordan skal vi håndtere innebygd personvern i våre systemer?
  • Har vi internasjonal tilknytning? Hvis ja, hvor er «hovedetableringen», og har vi kontroll på selskapets og eventuelle samarbeidspartneres forpliktelser utenfor Europa knyttet til GDPR?
  • Hvis vi ikke har personvernombud, trenger vi det?
  • Har vi et bevisst forhold til hvem vi er databehandlere for og om vi er databehandlingsansvarlig for noen, og har vi kontroll på databehandleravtaler?
  • Har vi rutiner for logging og rapportering av avvik?
  • Hvordan skal vi håndtere den registrertes nye rettigheter i vår virksomhet?

Husk at alt du gjør i forbindelse med arbeidet knyttet til rutiner og tiltak rundt den nye personvernforordningen skal dokumenteres.

Det du allerede har av rutiner i virksomhetens internkontrollsystem er også et godt utgangspunkt. Har du gjort en grundig jobb her tidligere, er du allerede godt på vei.

Og dersom du ennå ikke har startet arbeidet med GDPR vil jeg anbefale deg å starte nå. Mye skal gjøres.

Det er mange som tilbyr kurs og seminarer knyttet til opplæring i det nye lovverket. Satser du på at du får det til på egen hånd, kan jeg anbefale Datatilsynets veileder.

Lykke til!

Ps! Handler du med virkomheter i Europa eller utlandet forøvrig? Last ned rapporten vår for å få et innblikk i hvordan det står til med betalingsforhold og økonomi utenfor Norges grenser.

Gratis e-bok: Tips til deg som vurderer å selge dine fordringer