hits

mai 2017

Minsteml for best EUs personvernkrav


I dag vet nesten alle at EUs nye personvernregler (GDPR) trer i kraft om litt mer enn et r. Rdgivere og eksperter av ymse slag roper ulv. Det kan fremst som nesten umulig etterflge kravene, ikke minst fordi en fornuftig prioritering kan virke som rene tryllekunsten. Men, det er ikke umulig.

Mange av mine klienter jobber hardt for f sine bedrifter nogenlunde compliant - stammeordet for overholde relevante regler.

Mange av mine klienter jobber hardt for f sine bedrifter nogenlunde compliant.  Ettersprselen etter vr kompetanse har endret seg. Vi har advokater utplassert for hjelpe til fordi kapasiteten internt ikke finnes. Noen steder finnes heller ikke kompetansen fullt ut.

Det er stadige diskusjoner om ansvarsbegrensninger i avtaler mellom databehandler og behandlingsansvarlig for erstatningsansvar - for ikke snakke om diskusjoner om slike begrensninger egentlig str seg rettslig i GDPR-verden. Og nr noen skal bruke skylsninger str compliance hyt p agendaen fordi man vet at feil her kan trigge de strste konomiske straffene. Verden var ikke slik for et par r siden. Alle var ikke opptatt av personvern da. Kanskje er ikke alle det n heller, men det virker slik innimellom.

Risikerer store gebyrer
Driveren bak dette er, som kjent, dessverre muligheten for at Datatilsynene kan ilegge veldig store gebyrer etter det nye regelverket. Det hadde vrt hyggelig kunne skrive at driveren er at alle er blitt veldig mye mer opptatt av personvern, men det ville nok ikke vrt sant.

En like stor rsak er at behandlingsansvarlig og databehandler er solidarisk ansvarlig for eventuelle erstatningssksml fra de registrerte - igjen er penger og fare for tap i fokus. Det blir enda verre av at grupper av registrerte kan g sammen i gruppesksml mot den de mener er mest skegod av behandlingsansvarlig og databehandler. Ikke lett vre liten databehandler med stor kunde, da. Solidaransvar er ingen spk. Har man store kunder og mange registrerte er det all grunn til se nye p avtalene sine og p om man har definert sine egne tjenester p en god nok mte.

Viktig forberede seg
Det nesten alle bedrifter m gjre er lage en plan. De strste bedriftene har begynt med sin plan for lenge siden, men det store flertallet av bedrifter har til gode identifisere hvilke handlinger de m gjennom for minimalisere risiko for tap og ikke minst for ke valgbarheten som foretrukken avtalepart ogs etter mai 2018 nr reglene trer i kraft.

Hva skal s en slik plan inneholde? Det avhenger jo selvflgelig av hvilken type virksomhet man bedriver. En bedrift med mange ansatte og bare bedrifter som kunder har et ganske annerledes behov enn en tjenesteleverandr som f eks selger driftstjenester til andre, kanskje strre selskaper med private kunder eller mange ansatte.

Det aller viktigste er finne ut om - eller hvor - bedriften behandler store mengder informasjon om privatpersoner og legge innsatsen der.   

Nr man vet p hvilke omrder man har personopplysninger, m man aller frst kartlegge hvilke opplysninger man har, hvem som har tilgang, hvor lenge de lagres, om de ligger i skylsninger, om opplysningene kan aksesseres fra personell som er lokalisert utenfor EU, hva som er hjemmelen for bruken, etc. Basert p GDPR og andre utspill fra EU, og p hva vi ser skjer i markedet, har vi laget lister over hva som m kartlegges. Det interessante fra et brukerperspektiv er at hva som ettersprres i bde databehandleravtaler og intern kontrolldokumentasjon utvides uke for uke. Det er en skokk tekniske og juridiske rdgivere i inn- og utland som arbeider med feltet for tiden og oppfinnsomheten i hva man skal ettersprre hos leverandrer og hva man skal sikre seg mot synes ikke avta. S da m man vite hvilke sprsml fra kunder som faktisk er relevante og hva man kan si ligger utenfor scope til GDPR-compliance.

Hva er personopplysninger?
Et beslektet og viktig tema er ha et realistisk forhold til hva som er personopplysninger. Mange tar feil og tror at krypterte opplysninger, pseudonymiserte opplysninger eller aggregerte opplysninger ikke er personopplysninger fordi det skal mye til for finne individet bak, ofte er det jo nesten umulig. Det er som regel en feil konklusjon. GDPR legger opp til at selv om det skal mye til for bakveisidentifisere et individ, s er det en personopplysning. Ogs veldig mange typer metadata er personopplysninger. Tenk beacons, loggdata, IP-adresser, pc-innstillinger og webbrowsere fra tredjeparter, og s videre.. Det kan bli dyrt ta feil der.

Et annet viktig punkt handler om internkontrolldokumentasjon. Det er interessant at n ber kjpere av ulike tjenester om detaljert informasjon om tjenesteleverandrens internkontrolldokumentasjon fr de er villige til undertegne en avtale. For eksempel er det mange tjenesteleverandr som n m dokumentere at de har en rutine for sletting av personopplysninger etter endt kontraktsforhold - helst med bekreftet sletting. Det er ikke alle som klarer dokumentere sletting slik. Et annet sprsml som stadig dukker opp n er segmentering av data. Kan man samle ulike kunders data i samme database og hva slags logisk segmentering er godt nok? Og har man mulighet til oversende kopi av revisjonsrapporter p hhv personvern og informasjonssikkerhet? Svaret p det siste kan fort avhenge av hvilke underleverandrer en tjeneste baserer seg p - det er ikke penbart at et stort utenlandsk softwareselskap oversender slikt.

Et annet viktig punkt er den helt nye bestemmelsen om dataportabilitet. Dette handler ikke om noen ting som vi har i dag. Fra mai neste r, skal de aller fleste individer som er registrert et sted, kunne kreve opplysningene utlevert til seg i et maskinlesbart format og automatisk overfrt til en annen leverandr. Den juridiske utfordringen rundt dette er fort finne ut om det virkelig gjelder ens klient (eller om noen av unntakene kan bruke), mens det kostnadsdrivende elementet er f programmert de ndvendige endringene i systemet.

Det er mange ting ta tak i. Trsten er at dersom man har oversikt over hvilke opplysninger man forvalter og behandler, har oversikt over hvor de er og hvem som har tilgang, en riktig bruk av skytjenester, et fornuftig internkontrollsystem samt en realistisk oppfatning av vrige srkrav i GDPR s ligger man veldig bra an. Det er ikke umulig og kan vise seg bli et riktig bra konkurransefortrinn fremover i forhold til bde private og offentlige kunder.