En plan for GDPR compliance?

5 min read

I dag vet nesten alle at EUs nye personvernregler (GDPR) trer i kraft om litt mer enn et år. For noen synes det nesten umulig å bli compliant, og det å finne en fornuftig prioritering og å ta stilling til hva som er «godt nok» kan virke som en tryllekunst. Men det er ikke umulig.

 

 

 

 

Eva Jarbekk, personvernspesialist og partner i Føyen Torkildsen

 

Mange av mine klienter jobber hardt for å få sine bedrifter nogenlunde compliant. Etterspørselen etter vår kompetanse har endret seg. Vi har advokater utplassert for å hjelpe til fordi kapasiteten internt ikke finnes. Noen steder finnes heller ikke kompetansen fullt ut. Det er stadige diskusjoner om ansvarsbegrensninger i avtaler mellom databehandler og behandlingsansvarlig for erstatningsansvar – for ikke å snakke om diskusjoner om slike begrensninger egentlig står seg rettslig i GDPR-verden. Og når noen skal bruke skyløsninger står compliance høyt på agendaen fordi man vet at feil her kan trigge de største økonomiske straffene. Verden var ikke slik for et par år siden. Alle var ikke opptatt av personvern da. Kanskje er ikke alle det nå heller, men det virker slik innimellom.

Driveren bak dette er, som kjent, dessverre muligheten for at Datatilsynene kan ilegge veldig store gebyrer etter det nye regelverket. Det hadde vært hyggelig å kunne skrive at driveren er at alle er blitt veldig mye mer opptatt av personvern, men det ville nok ikke vært sant.

En like stor årsak er at behandlingsansvarlig og databehandler er solidarisk ansvarlig for eventuelle erstatningssøksmål fra de registrerte – igjen er penger og fare for tap i fokus. Det blir enda verre av at grupper av registrerte kan gå sammen i gruppesøksmål mot den de mener er mest søkegod av behandlingsansvarlig og databehandler. Ikke lett å være liten databehandler med stor kunde, da. Solidaransvar er ingen spøk. Har man store kunder og mange registrerte er det all grunn til å se nøye på avtalene sine og på om man har definert sine egne tjenester på en god nok måte.

Det nesten alle bedrifter må gjøre nå er å lage en plan. De største bedriftene har begynt med sin plan for lenge siden, men det store flertallet av bedrifter har til gode å identifisere hvilke handlinger de må gjennom for å minimalisere risiko for tap og å øke sannsynlighet for fremdeles å være en foretrukken avtalepart også etter mai 2018 når reglene trer i kraft. Det gjelder ingen overgangstid etter mai 2018 – overgangstiden er nå.

Hva skal så en slik plan inneholde? Det avhenger jo selvfølgelig av hvilken type virksomhet man bedriver. En bedrift med mange ansatte og bare bedrifter som kunder har et annet behov enn en tjenesteleverandør som f eks selger driftstjenester til andre, kanskje større selskaper med private kunder eller mange ansatte. Nøkkelen er å finne ut om – eller rettere sagt hvor – bedriften behandler store mengder informasjon om privatpersoner og legge innsatsen der.

Når man vet på hvilke områder man har personopplysninger, må man aller først kartlegge hvilke opplysninger man har, hvem som har tilgang, hvor lenge de lagres, om de ligger i skyløsninger, om opplysningene kan aksesseres fra personell som er lokalisert utenfor EU, hva som er hjemmelen for bruken, etc. Vi har lister på hva som må kartlegges og i disse dager utvides de stadig, dels basert på nye innspill fra EU og dels basert på hva vi ser skjer i markedet.

Et beslektet og viktig tema er å ha et realistisk forhold til hva som er personopplysninger. Mange tar feil og tror at krypterte opplysninger, pseudonymiserte opplysninger eller aggregerte opplysninger ikke er personopplysninger fordi det skal mye til for å finne individet bak, ofte er det jo nesten umulig. Det er som regel en feil konklusjon. GDPR legger opp til at selv om det skal mye til for å «bakveisidentifisere» et individ, så er det en personopplysning. Også veldig mange typer metadata er personopplysninger. Tenk beacons, loggdata, IP-adresser, pc-innstillinger og webbrowsere, og så videre.. Det kan bli dyrt å ta feil der.

Et annet viktig punkt handler om internkontrolldokumentasjon. Det er interessant at nå ber kjøpere av ulike tjenester om detaljert informasjon om tjenesteleverandørens internkontrolldokumentasjon før de er villige til å undertegne en avtale. For eksempel er det mange tjenesteleverandør som nå må dokumentere at de har en rutine for sletting av personopplysninger etter endt kontraktsforhold – helst med bekreftet sletting. Det er ikke alle som klarer å dokumentere sletting slik. Et annet spørsmål som stadig dukker opp nå er segmentering av data. Kan man samle ulike kunders data i samme database og hva slags logisk segmentering er godt nok? Og har man mulighet til å oversende kopi av revisjonsrapporter på hhv personvern og informasjonssikkerhet? Svaret på det siste kan fort avhenge av hvilke underleverandører en tjeneste baserer seg på – det er ikke åpenbart at et stort utenlandsk softwareselskap oversender slikt.

Et annet viktig punkt er den helt nye bestemmelsen om dataportabilitet. Dette handler ikke om noen ting som vi har i dag. Fra mai neste år, skal de aller fleste individer som er registrert et sted, kunne kreve opplysningene utlevert til seg i et maskinlesbart format og automatisk overført til en annen leverandør. Den juridiske utfordringen rundt dette er fort å finne ut om det virkelig gjelder ens klient (eller om noen av unntakene kan bruke), mens det kostnadsdrivende elementet er å få programmert de nødvendige endringene i systemet.

Det er mange ting å ta tak i. Trøsten er at dersom man har oversikt over hvilke opplysninger man forvalter og behandler, har oversikt over hvor de er og hvem som har tilgang, en riktig bruk av skytjenester, et fornuftig internkontrollsystem samt en realistisk oppfatning av øvrige særkrav i GDPR ligger bra an. Det kan vise seg å bli et riktig bra konkurransefortrinn fremover i forhold til både private og offentlige kunder.

About Eva Jarbekk

Eva Jarbekk er en av landets fremste personvernadvokater. Hun bruker mesteparten av sin tid som advokat og partner i Føyen Torkildsen hvor hun arbeider med skytjenester, personvern og generelle IKT-problemstillinger. Hun har ledet Personvernnemnda i en årrekke og har deltatt i flere offentlige utvalg, bla Digitalt Sårbarhetsutvalg, Evalueringsutvalget for EOS-tjenestene og Lysne 2 om digitalt grenseforsvar. Eva har en blogg om personvern og teknologijuss på nettavisen.