GDPR - GledesDrePeR

Og hvem er det som er gledesdreperen? EU har vedtatt en ny personvernforordning som styrker vanlige menigmann og -dames kontroll på og rettigheter i forhold til egne personopplysninger.

Og hvem er det som er gledesdreperen? EU har vedtatt en ny personvernforordning som styrker vanlige menigmann og -dames kontroll på og rettigheter i forhold til egne personopplysninger. Forordningen er i all hovedsak utarbeidet for å kunne regulere bruk og deling av personopplysninger på en helt annen måte enn hva som er mulig med dagens regelverk.

Hva i all verden er GDPR?

I Norge har vi hatt et ganske sterkt regelverk for personopplysninger i mange år allerede, men GDPR vil styrke det ytterligere. Dette fordi, som enhver borger av EU med over gjennomsnittlig interesse for EU-byråkrati og som har bikket over 120 studiepoeng i juss vet, EU-forordninger gjelder i alle medlemsland på lik linje med nasjonale lover. Men Norge er ikke i EU sier du? Joda, i denne sammenhengen er vi med på moroa sammen med alle andre EU- og EØS-nasjoner (selv om det ikke er så rett frem rent byråkratisk, men det er et helt annet blogginnlegg).

Men hva betyr så GDPR egentlig? Det står jo selvsagt for noe så fint som General Data Protection Regulation, eller personvernforordningen på norsk. For å forklare hva det virkelig betyr i praksis, så snakker vi her om regler som regulerer hvordan Google, Rema 1000, Acme Ltd og Rundkiosken kan håndtere dine personopplysninger.

Personopplysninger og sensitive personopplysninger

Så hva er egentlig personopplysninger? Da snakker vi om informasjon som kan knyttes til deg som enkeltperson. Det gjelder ikke bare informasjon som entydig identifiserer deg, som f.eks. personnummer eller fingeravtrykk, men det inkluderer også informasjon som kan benyttes til å identifisere deg i en gitt kontekst. F.eks. kan en IP-adresse til hjemmet ditt strengt tatt knyttes til både deg og alle i din husstand, men så snart denne IP-adressen kobles mot annen informasjon eller et handlingsmønster som sammen peker mot deg som enkeltperson så er det identifiserende.

Eksempler på personopplysninger er navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster, fødselsnummer, adferdsmønster etc. [Datatilsynet]
Sensitive personopplysninger er en klassifisering som gir ytterligere vern i eksisterende og kommende lovverk. Denne typen opplysninger utløser f.eks. søknadsplikt hvis man ønsker å behandle informasjonen i sine systemer. Sensitive personopplysninger er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger. [Datatilsynet]
www.datatilsynet.no

Privatpersoners rettigheter

For en vanlig privatperson følger det en del rettigheter med GDPR. For det første styrker det vernet om personopplysninger og dine rettigher ift innsyn i lagrede personopplysninger. Man bruker begrepet behandlingsansvarlig om den som ønsker å benytte seg av dine personopplysninger. Eksempelvis er Rema 1000 behandlingsansvarlig når de ønsker å knytte kredittkortet ditt opp mot kjøpshistorikken i butikkene deres.

Behandlingsansvarlig må sørge for at du møter systemer eller rutiner som underbygger de rettighetene du har som privatperson. Dette innebærere at behandlingsansvarlig må tilgjengeliggjøre funksjonalitet som gjør at du kan kreve å bli slettet fra behandlingsansvarliges systemer. Du kan kreve at tilgangen til dine personopplysninger begrenses. Du kan kreve å få innsyn og evt. få alle behandlingsansvarliges data om deg i en fil med et format som kan håndteres på tvers av systemer. Du kan også motsette deg at dine personopplysninger behandles / prosesseres i det hele tatt.

GDPR i praksis for bedrifter og organisasjoner

GDPR høres jo veldig forlokkende ut for den vanlige mann, dame, gutt og pike i gata, så hvorfor snakker vi her om en GledesDrePeR? Det er fordi vi må klø oss en del i hodet i profesjonell sammenheng. Vi i IT-bransjen må klø oss i hodet fordi vi må finne ut hvordan vi skal håndtere personopplysninger i databaser og andre lagringsformater og på tvers av systemer i komplekse systemarkitekturer. Vi klør oss i hodet fordi vi må tvinge inn funksjonalitet for å kunne gi brukeren kontroll over egne data; dvs innsyn i egne data, sletting av egne data og eksport av egne data. Og ordlyden “tvinge” er brukt bevisst. Når en utvikler tar på seg vernedrakta og hopper inn i en Pascal-kodebase fra 1995 som enklere lar seg endre med hammer og meisel enn tastatur, så må man “tvinge”.

Vi er ikke alene om å klø oss i hodet heller. Enhver organisasjon som håndterer personinformasjon må ta nødvendige forholdsregler. Man må spørre seg hvilken personinformasjon man forvalter, hvordan man prosesserer personinformasjon og om man deler personinformasjon med andre organisasjoner. Hvis man har systemer som utveksler personinformasjon må man ha funksjonalitet og rutiner på plass for å kunne møte borgernes rettigheter ift kontroll på egne data. For husk, hvis en kunde ønsker å slette alle sine persondata som er i dine systemer, må dette gjøres på tvers av den systemarkitekturen som er satt opp for din organisasjon.

Som alltid er det knapt med tid

Dessverre kan vi ikke klø oss veldig lenge i hodet. EU-direktivet trår i kraft allerede i mai neste år, nærmere bestemt 25. mai 2018. Derfor er det veldig viktig å komme i gang med kartlegging av hvilke data man forvalter i sine systemer og legge en plan på hvordan man kan operere i henhold til GDPR med sine systemleverandører.

Trenger du et godt incitament for å komme i gang? Husk at regelverket åpner for bøter på opptil 4% av selskapets globale omsetning eller opp til 20 millioner Euro - velg det tallet som er høyest.

Relevante ressurser

GDPR-Info.eu - “GDPR

Datatilsynet - “Hva betyr de nye personvernreglene for din virksomhet?

Datatilsynet - "Enkel punkliste for din organisasjon"

HR Norge - “(Nesten) alt du trenger å vite om EUs nye personvernregler

Vil du lese flere blogginnlegg fra oss?
Se alle våre innlegg, eller legg inn e-postadressen din nedenfor og få digitale tips og anbefalinger rett i innboksen din.