<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=241066823005528&amp;ev=PageView&amp;noscript=1">
EUs nye regler for personvern: Hva betyr de for din bedrift?

I mai 2018 får vi nye regler for personvern i Norge. Hva innebærer det i praksis?

1. Virksomheter får nye plikter.

2. Personene som får sine personopplysninger registrert, får nye rettigheter.

 

Hva betyr det nye regelverket for din bedrift?

Personvern er noe din bedrift fra nå av MÅ ta på alvor. Det er ikke lenger bare et tema for IT-avdelingen – både ledergruppen og styret må ha det høyt oppe på agendaen.

Ikke la det skure og gå. Hvis dere slurver med hensynet til personvern, risikerer bedriften å få bøter på opptil fire prosent av omsetningen.

Men senk skuldrene. Vi skal guide deg gjennom hva du som bedriftsleder må gjøre for å ha ditt på det tørre.

 

6 grep du bør ta – med én gang

 

1. Sett deg inn i det nye regelverket

Hva innebærer det for din virksomhet og dine systemer? Du finner forordningsteksten på Datatilsynets nettsider.

 

2. Skaff deg oversikt over hvilke personopplysninger dere behandler

Alle virksomheter som samler inn eller bruker personopplysninger, skal ha oversikt over hvilke data det er snakk om, hvor de kommer fra, og hva som er det rettslige grunnlaget for behandlingen. Sørg for å ha en slik oversikt. Det er et krav som gjelder også etter dagens lov.

 

3. Sørg for å oppfylle dagens lovkrav

Oppfyller bedriftens nåværende systemer kravene i personopplysningsloven som gjelder i Norge i dag? Overgangen til de nye reglene blir lettere dersom dere allerede etterlever dagens lovkrav. Hvis dere må gjøre endringer eller gå over til nye systemer – ta grep tidlig.

 

4. Lag rutiner for å følge de nye reglene

Gå gjennom rutinene dere har for behandling av personopplysninger. Oppdater dem etter nytt regelverk der det trengs. Dokumenter de nye rutinene, gjør dem kjent i organisasjonen og legg en plan for de endringer som dere må gjøre. Dette arbeidet tar tid, så sett i gang allerede nå.

 

5. Finn ut om din bedrift plikter å opprette en personvernombud-stilling

Med den nye forordningen får mange virksomheter en plikt til å opprette personvernombud. Følgende virksomheter gjøre det:

  • offentlige virksomheter (unntatt domstolene)
  • virksomheter hvis kjerneaktivitet består i å regelmessig og systematisk overvåke personer i stort omfang
  • virksomheter som behandler sensitive personopplysninger i stort omfang

 

6. Finn ut om de nye reglene får konsekvenser for nye produkter, apper eller IT-systemer

I så fall, gjør nødvendige endringer før de utvikles videre.

Henger du med så langt? Flott – da ser vi nærmere på 5 hovedpunkter du bør kjenne til i de nye reglene:

 

5 hovedpunkter i de nye EU-reglene

For at du skal slippe å måtte pløye deg gjennom hele forordningsteksten, som er på 156 sider (!), har vi sammenfattet de 5 viktigste endringene:

 

1. Bedriften må ha en lett forståelig personvernerklæring

Har dere veldig teknisk formulert informasjon om hvordan din bedrift behandler personopplysninger? Finn frem informasjonen og skriv den om slik at mannen i gata fatter hva som står der. Skriv enkelt, klart og tydelig. Test ut teksten på noen uten spesielle tekniske kunnskaper. Forstår de hva som menes?

Behandler dere personopplysninger om barn? Da må dere utforme informasjonen rettet mot barna enda enklere – slik at også de kan forstå den.

Gjør personvernerklæringen lett tilgjengelig på nettsiden.

 

2. Bedriften må bygge personvern inn i nye løsninger

Kravene til hva bedriften må rapportere til Datatilsynet, mykes opp. Til gjengjeld må dere fra nå av utarbeide nye løsninger og systemer på en mest mulig personvennlig måte. Dette kalles innebygd personvern og handler om å ta hensyn til personvern i alle utviklingsfaser av et system eller et produkt. For eksempel ved at dere henter inn kun de opplysningene som faktisk er nødvendige, og at dere ikke lagrer dataene lenger enn bedriften faktisk trenger dem.

Dataene skal dessuten sikres mot blant annet hackere.

Den mest personvernvennlige innstillingen skal være standard i alle systemer. For å hjelpe deg i gang med arbeidet har Datatilsynet laget en veileder om innebygd personvern.

 

3. Bedriften må oppfylle borgernes «rett til å bli glemt»

Med den nye personvernforordningen kan den enkelte forbruker kreve at din bedrift sletter alle personopplysninger dere har lagret om dem. Dette kalles «retten til å bli glemt». Bedriftens system må kunne håndtere slike forespørsler.

 

4. Bedriften må oppfylle retten til dataportabilitet

Norske og europeiske borgere kan nå kreve å ta med seg sine personopplysninger fra en leverandør til en annen, i et vanlig brukt filformat. For eksempel hvis kunden bytter forsikrings- eller mobilselskap. Dette kalles «dataportabilitet». Dermed må bedriften sørge for å ha datasystemer som gjør dette mulig.

NB: Alle henvendelser fra borgere skal besvares innen en måned.

 

5. Bedriften får større mulighet til å bruke big data – under visse forutsetninger

I løpet av en dag legger vi igjen en drøss med elektroniske spor – via sosiale medier, SMS-er, telefonsamtaler, googling, netthandel, etc. Dette gjør oss til storprodusenter av data.

Ved bruk av nye analyseverktøy og avanserte algoritmer kan for eksempel IT- og telefoniselskaper trekke ut spesifikk informasjon av den enorme datamengden deres egne kunder genererer. Denne informasjon brukes så til målrettede reklamekampanjer basert på kundenes adferd og vaner.

For å kunne bruke big data er mange bedrifter avhengig av råmaterialet til dem – nemlig personopplysninger. Personvern skal ikke være til hinder for forretningsutviklingen. Derfor legger de nye EU-reglene bedre til rette for bruk av big data-analyser. Forutsetningen er at bedriftene pseudonymiserer brukerdataene. Med andre ord at de gjør det vanskeligere å identifisere brukeren.

 

Personvernsyndere straffes – av forbrukerne

Dagens forbrukere er opptatt av hva bedrifter vet om dem, og hvordan opplysningene brukes. Hvis de synes at en bedrift misbruker personopplysningene deres, vil de kunne bruke forbrukermakten og gi personvernsynderen en kald skulder.

Så vi gjentar: Hensynet til personvern er noe din bedrift ta på alvor.

Vi er også tilgjengelig for å ta en prat om konsekvensene for din bedrift:

gratis rådgivingstime

LES OGSÅ:

Bilde av Knut Pedersen
Skrevet av Knut Pedersen
For uten om å være utdannet dataingeniør og inbound sertifisert, er Knut gründer og daglig leder i Techweb. Han er barnefødt optimist og har alltid en positiv tilnærming til menneskene rundt seg. I Techweb hjelper han kundene med digital strategi, design og forretningsrådgiving.

Du er kanskje også interessert i: