Som leder er du ansvarlig for at din virksomhet er i samsvar med EUs nye personvernlovgivning, GDPR, innen mai 2018. Arbeidet bør du starte nå, for tiden begynner å renne ut for de mange lederne (1 av 3) som ikke en gang vet hva GDPR står for, som risikerer bøter på opptil 4 prosent av brutto omsetning. I denne artikkelen oppsummerer jeg hva du trenger å vite om GDPR, og jeg har også vært i MarkedsPartners studio og snakket om temaet.
Hvorfor GDPR?
GDPR (General Data Protection Regulation) er en ny personvernforordning fra EU. Fordi befolkningen generelt sett blir mer digitale, og vi i stadig større grad legger igjen elektroniske spor etter oss i nettbutikker, nettsteder og andre applikasjoner, har myndighetene sett behovet for å utforme et mer omfattende og strengt regelverk.
Kunnskapsnivået er lavt
Norske bedriftsledere har liten innsikt i hva EUs nye personvernforordning handler om, viser en undersøkelse Respond Analyse nylig har gjort blant 611 bedriftsledere i offentlig og privat sektor:
- 1 av 3 bedriftsledere kjenner ikke til forordningen overhodet
- Kun 2 % sier de har god innsikt i personvernforordningen
- 60 % svarer at de ikke vet om de kan legge frem dokumentasjon på hvordan bedriften håndterer personopplysninger – eller at de vet at de ikke kan dokumentere hvordan de håndterer slike opplysninger
- Kun 1 av 10 norske virksomheter har startet arbeidet med å tilpasse seg den nye lovgivningen
Konsekvenser av å ikke bli compliant med GDPR
Bedrifter som ikke følger reglene kan få bøter på opp mot fire prosent av brutto omsetning, begrenset oppad til 20 millioner Euro.
Hva blir nytt med GDPR?
Noen av områdene som berøres er blant annet:
- Strengere krav til personvernerklæring. Det skal blant annet informeres om at den registrerte har rett til innsyn, retting, sletting og dataportabilitet, samt at man har rett til å kreve at behandlingen av personopplysninger begrenses og å motsette seg visse former for behandling.
- Risiko- og personvernkonsekvenser skal vurderes. Det vil si at virksomheten har en plikt til å utrede personvernkonsekvensene og å gjennomføre en konsekvensanalyse når det planlegges en behandling av personopplysninger som sannsynligvis vil utgjøre høy risiko for personers rettigheter, som retten til personvern.
- Personvern skal bygges inn i alle nye løsninger og systemer. Man må da utvikle standarder for mengden personopplysninger man samler inn, omfanget av behandlingen, lagringstid og tilgjengelighet. For det siste punktet bør prinsippet om «need to know» anvendes, dvs. at kun et nødvendig fåtall av ansatte bør ha tilgang til personopplysningene.
- Databehandler får nye plikter: Man skal umiddelbart varsle den behandlingsansvarlige om avvvik. Man plikter også å si ifra til den behandlingsansvarlige dersom man mener at instruksjonene de gir er i strid med forordningen eller personvernretten for øvrig. Behandlingsansvarlig har fremdeles hovedansvaret for behandlingen av personopplysninger.
- Nye krav til avvikshåndtering.
- Hovedregelen er at alle avvik som skyldes brudd på datasikkerheten skal meldes til Datatilsynet. Unntaket fra dette gjelder hvis det er usannsynlig at avviket medfører en risiko for enkeltpersoners rettigheter eller personvern.
- Det stilles krav om at avviksmeldingen skal leveres til Datatilsynet innen 72 timer. Dersom virksomheten ikke har full oversikt over avviket, kan avviksmeldingen sendes trinnvis.
- Virksomheten må ha dokumentasjon på alle avvik og hvilke tiltak som er iverksatt. Formålet er at Datatilsynet skal kunne kontrollere at reglene om avviksvarsling følges.
- «Retten til å bli glemt». Den registrerte får en tydeligere rett til å kreve sletting av egne personopplysninger i det nye regelverket.
Hva du bør gjøre NÅ, ifølge Datatilsynets anbefalinger
Datatilsynet anbefaler følgende strakstiltak:
- Sikre deg oversikt over hvilke personopplysninger virksomheten din behandler. Dette er likt dagens lovkrav
- Sørg for å oppfylle dagens lovkrav. Da vil overgangen bli vesentlig enklere når nye regler trer i kraft
- Sett deg inn i det nye regelverket. Les mer på Datatilsynets nettsider
- Lag rutiner for å følge de nye reglene
Konklusjon
Det er fremdeles en del avklaringer som gjenstår, spesielt rundt hvordan det nye lovverket skal løses i praksis. Høringsfristen gikk ut 16. oktober. Datatilsynet er i prosess med å utarbeide maler og retningslinjer – og har signalisert at de vil fortsette med det godt inn i neste år. Fremover er det å forvente at det vil være økt fokus på hvordan forordningen skal implementeres i praksis. Arbeidet med den nye forordningen er en tidkrevende, men nyttig prosess – den bidrar til økt bevissthet og dermed større forståelse for viktigheten av å ha grundige prosesser rundt personvern.