– Vi tror norske virksomheter har en stor oppgave foran seg med å følge den nye lovens bestemmelser. Vår erfaring er at det står relativt dårlig til med enkelte sektorer, sier Veronica Jarnskjold Buer, senioringeniør i Datatilsynet.

Det statlige forvaltningsorganet forteller at utvalgte virksomheter innen offentlig sektor definitivt hører inn under virksomhetene som ikke er best forberedt.

– Mange innen stat og kommune har mye arbeid foran seg. Vi ser at mange kommuner ikke har skjønt at den nye personvernlovgivingen påvirker dem, forteller hun.

En annen gruppe som må ruste seg for nye tider er databehandlere som oftest er dette leverandører og konsulenter. Til nå har disse ikke vært rettspliktige, med ny lov stilles det krav også til får disse. Behandlingsansvarlig kan ikke benytte seg av databehandler som ikke følger ny personvernforordning.

Felles for alle norske virksomheter, privat eller offentlig, er at de har ett år igjen før de må være tilpasset de nye personvernreglene. Endringen representerer den største innen personlovgivning i Europa på over 20 år.

 <p><b>SIKKERHETSSJEF:</b> – Reglene er laget for å beskytte brukere og individer. Kort fortalt innebærer det at dataene faktisk brukes til ting som du som forbruker har godkjent at de brukes til. Det må alle virksomheter kunne håndtere, sier Ole Tom Seierstad, sikkerhetssjef i Microsoft. </p>
SIKKERHETSSJEF: – Reglene er laget for å beskytte brukere og individer. Kort fortalt innebærer det at dataene faktisk brukes til ting som du som forbruker har godkjent at de brukes til. Det må alle virksomheter kunne håndtere, sier Ole Tom Seierstad, sikkerhetssjef i Microsoft. 

Dette er endringene du må vite om

Datatilsynet mener at det er viktig at alle virksomheter tar en gjennomgang for å tilpasse seg de nye reglene.

– Den nye loven setter borgeren i sentrum. Den behandlingsansvarlige er hoved-pliktsubjekt for å sikre at den registrerte kan ivareta sine rettigheter ved å gi informasjon, besvare henvendelser og legge til rette for at den registrerte kan ivareta sine rettigheter, forteller Buer.

Hun mener det aller viktigste er å ha en oversikt over hvilke typer personopplysninger som finnes i virksomheten.

– Så bør man sette seg ned og prioritere hvilke tiltak som skal fattes for å drive forretning i samsvar med de nye reglene. Det innebærer å organisere interne rutiner og klare å dokumentere personvernet, forklarer Buer. Ifølge Datatilsynet er dette de ti viktigste endringene i overgangen til den nye personvernlovgivingen:

1) Det nye regelverket fører til nye plikter

Alle virksomheter må sette seg inn i den nye lovgivningen og finne ut hvilke nye plikter som gjelder dem. 

 – Ledelsen må sørge for å få på plass rutiner for å overholde de nye pliktene. Alle ansatte må følge de nye rutinene når reglene trer i kraft, kommenterer Buer.

2) Alle behandlingsansvarlige har en informasjonsplikt

Når virksomheten behandler personopplysninger, plikter de å informere de registrerte brukerne. Kravene til denne informasjonen blir strengere når forordningen trer i kraft. 

– Informasjonen skal være kortfattet, klar og tydelig, lett forståelig og lett tilgjengelig. Dette gjelder særlig informasjon rettet mot barn, forklarer Buer.

3) Alle skal vurdere personvernkonsekvenser

Vurdering av personvernkonsekvenser blir obligatorisk. Dersom behandling utgjør en stor risiko for personvernet, må virksomheten også utrede hvilke personvernkonsekvenser det kan ha. Det er flere type tilfeller der det er nødvendig å utrede personvernkonsekvenser:

  • systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser 
  • behandling av sensitive personopplysninger i stort omfang 
  • systematisk overvåking av offentlig område i stort omfang

– Hvis utredningen viser at risikoen er stor og dere selv ikke kan redusere den, skal Datatilsynet involveres i forhåndsdrøftelser, påpeker Buer.

 <p><b>HELE VERDEN:</b> Virksomheter som holder til utenfor Europa må også følge de nye reglene, dersom de tilbyr varer eller tjenester til borgere i et EU- eller EØS-land.</p>
HELE VERDEN: Virksomheter som holder til utenfor Europa må også følge de nye reglene, dersom de tilbyr varer eller tjenester til borgere i et EU- eller EØS-land.

4) Alle skal bygge personvern inn i nye løsninger

De nye reglene stiller krav til at nye løsninger og systemer skal utarbeides på en mest mulig personvernvennlig måte, fra mengden personopplysninger man samler inn, omfang av behandlingen, lagringstid og tilgjengelighet.

– Dette kalles innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer, sier Buer.

5) Mange virksomheter må opprette personvernombud

Alle offentlige og mange private virksomheter skal opprette såkalt personvernombud. De viktigste endringene er at personvernombud er fremhevet og lovregulert, kravene er skjerpet og det går fra å være frivillig til å være obligatorisk.

– Hva er egentlig et personvernombud?

– Se på det som en dirigent, og virksomhetens personvernekspert. Personvernombudet skal informere og gi råd, overvåke etterlevelse av forordning og interne retningslinjer, gi råd om PIA (personvernkonsekvenser) og samarbeide med Datatilsynet. Ombudet kan være både en ansatt eller en profesjonell tredjepart, svarer Buer.

6) Reglene gjelder også virksomheter utenfor Europa

Virksomheter som holder til utenfor Europa må også følge de nye reglene, dersom de tilbyr varer eller tjenester til borgere i et EU- eller EØS-land. Dette gjelder også om de ikke direkte tilbyr tjenester, men kartlegger adferden til europeiske borgere på nett.

– De som er etablert i flere land i Europa, skal bare trenge å snakke med personvernmyndighetene i det landet der de har sitt europeiske hovedkvarter, legger Buer til.

7) Alle databehandlere får nye plikter

De nye reglene pålegger databehandlere å ha rutiner for innsamling og bruk av personopplysninger. Databehandlere er virksomheter som behandler personopplysninger på oppdrag fra den ansvarlige virksomheten.

– Ofte er det snakk om leverandører av IT-tjenester, kommenterer Buer. 

Databehandlere skal også si ifra til oppdragsgiveren sin hvis de får instrukser som er i strid med loven. Databehandlere kan også bli holdt økonomisk ansvarlig sammen med oppdragsgiver.

8) Alle bør samarbeide i egne nettverk og følge bransjenormer

De nye reglene oppmuntrer til sektorvis utforming av retningslinjer og bransjenormer. 

– Målet med å utarbeide bransjenormer, er å sikre at de viktige rutinene kommer på plass. Datatilsynet kommer til å godkjenne alle bransjenormer, påpeker Buer.

9) Alle får nye krav til avvikshåndtering

Reglene for håndtering av sikkerhetsbrudd blir strengere. Forordningen stiller krav til når det skal varsles, hva varselet skal inneholde og hvem som skal varsles.

De nye reglene sier at behandlingsansvarlig må melde avvik innen 72 timer, og videre at avviket kan meldes trinnvis. Avvik omfatter brudd på konfidensialitet, integritet og tilgjengelighet. I tillegg skal de berørte informeres så raskt som mulig.

– Kort sagt skal man si fra raskere og oftere enn man gjør i dag, forklarer Buer.

10) Alle må kunne oppfylle borgernes nye rettigheter

I det nye regelverket er det viet et helt kapittel som omhandler borgerens nye rettigheter. En av rettighetene er den enkeltes rett til å kreve at hans eller hennes personopplysninger slettes eller rettes. Dette kalles «retten til å bli glemt». Dataportabilitet er en annen rettighet som gjør at norske og europeiske borgere kan kreve å ta med seg personopplysningene sine fra en leverandør til en annen i et vanlig brukt filformat.

– Alle henvendelser fra borgere skal besvares innen en måned, påpeker Buer.

Microsoft: – Er ikke bare å kjøpe et produkt

Arbeidet med de nye personvernreglene har tatt tid, men i april 2016 vedtok EU sin personvernforordning.

– Reglene er laget for å beskytte brukere og individer. Kort fortalt innebærer det at dataene faktisk brukes til ting som du som forbruker har godkjent at de brukes til. Det må alle virksomheter kunne håndtere, konstaterer Ole Tom Seierstad, sikkerhetssjef i Microsoft, der han har jobbet siden 1990.

Med den nye personvernloven kan bøtene beløpe seg til inntil fire prosent av virksomhetens globale bruttoomsetning. Seierstad peker på at virksomheter som vurderer å investere i, eller allerede har anskaffet nyere IT-plattformer, er godt rustet for å møte de nye reglene.

– Men det som er litt viktig å poengtere er at du ikke bare kan kjøpe et produkt også er problemet ute av verden.

– Teknologien og de produktene som for eksempel vi tilbyr vil hjelpe virksomheten til å være i tråd med regelverket. Men det som først og fremst er viktig er at virksomheten vier ressurser og oppmerksomhet slik at gode rutiner kommer på plass, avslutter Seierstad.