DETTE BETYR GDPR FOR BEDRIFTER I SMB-MARKEDET

 

 

Data er den nye oljen har du kanskje hørt noen si? Men du har kanskje ikke tenkt at din bedrift har noe «petroleum» liggende? Og trenger jeg noe ytterligere kontroll? Jeg er jo ikke Google, Amazon eller noen av de andre data-gigantene? Hvis du ikke allerede er godt i gang med tilrettelegging, vil du bli overasket over hvilken betydning GDPR har for din bedrift og dine kunder.

 

Når data er like verdifull som olje, må borgernes personlige data beskyttes. Og nå skjerpes kravene til hva hvordan denne verdien skal behandles. I Norge har vi tatt personvern alvorlig i langt større grad enn mange andre nasjoner, så vi er allerede vant med nokså god regulering av markedskrefter. Men nå har EU bestemt at forholdene skal skjerpes.

 

I forbindelse med GDPR (EUs forordning for personvern, The General Data Protection Regulation) får vi nye, strengere regler for personvern også i Norge. Reglene skal etter planen tre i kraft allerede den 26. mai 2018. Virksomheter som ikke følger de nye reglene når de trer i kraft, risikerer bøter på opptil 4 % av den totale omsetningen.

 

Det kan virke unødig strengt og paranoid, men husk tilbake til tiden før røykeloven kom. Folk hadde en helt annen holdning til røyking innendørs. Sammenlign med hvordan du ville reagert i dag? Det ville vært uhørt å ikke ta hensyn til passiv røyking og de andre begrunnelsene for Røykeloven, og man undres i dag over hvorfor vi ikke alltid har hatt en slik lov.

 

Med innførelsen av GDPR vil vi nok få se et tilsvarende paradigmeskift i Europa, rundt våre holdninger til personvern. Her gir vi deg en innføring i hva de nye reglene innebærer for din bedrift.

 



Hva kan defineres som personlig data? 

Før vi dykker ned i reglene er det praktisk å danne seg et bedre bilde av akkurat hva GDPR betrakter som personlig data. GDPR definerer dette helhetlig på følgende vis:

«Personlig data er et stykke informasjon som kan relateres til en identifiserbar person.»

Men hva er nå det? Noen helt åpenbare er:

  • Navn
  • E-post
  • Privat telefonnummer
  • Oppgitt bostedsadresse
  • Alder
  • Fødsel og personnummer

 

GDPR utvider dette til å også omfatte:

  • Genetisk data
  • Biometrisk data (til bruk ved f.eks. fingeravtrykkleser eller ansikt og stemmegjenkjenning)
  • Lokalisasjonsdata (til bruk ved f.eks. geotagging og beacon targeting)
  • Pseudonymisert data
  • Online identifikasjon. (er din persona knyttet til en Online id som f.eks. en avatar er dette også personlig data. Det samme gjelder IP-addresser, mobilenhet-IDer, nettleser fingeravtrykk, RFID tagger, MAC-addresser, cookies, telemetri, brukerkonto-IDer og en hvilken-som-helst bit av data vi kan kartlegge til å identifisere deg som en naturlig person.)

 

Men vent! Det er jo mer som kan definere meg som person tenker du kanskje?
Det stemmer, men dette faller under sensitiv eller konfidensiell informasjon. Dette defineres som informasjon om personens:

  • Etnisitet
  • Politiske meninger
  • Religiøsitet
  • Fagforeningsmedlemskap eller annen organisatorisk tilhørighet
  • Helsedata
  • Seksual og livssynsorientering
  • Rulleblad og kriminalhistorikk

 

Nå som du vet hva personlig data består av kan vi snakke mer nøyaktig om hvordan dette skal lagres og behandles. Datatilsynet har laget en fin punktliste over forordningen som du finner her:

Den tar for seg 10 nye rutiner og regler som gjelder for alle bedrifter som selger varer eller tjenester til personer med statsborgerskap i EU/EØS. Her får du også 4 tips til hvordan dere som bedrift kan forberede dere. Det er gode kjøreregler, men kan tidvis være forvirrende formulert. Derfor trekker vi her frem noen av punktene som åpner mest for tolkning og beskriver hva som er ment med dette.

 

Først: Straffen! Hva skjer om vi ikke gjør oss klare i tide?

Den offisielle holdningen er at overtredelser skal straffes med opptil 4 % av bedriftens årlige brutto omsetning eller 20 millioner Euro. Hva enn som er størst. For små og mellomstore bedrifter har vi fått tydelige signaler fra Datatilsynet om at reglene skal følges, men at det viktigste er at man kan vise til å ha gitt ett skikkelig forsøk på å innrette seg.

 

Så: Gulroten: Det blir likt for alle

Det kan virke som mye jobb for liten avkastning. Men det er egentlig en utjevning av konkurransegrunnlaget. Alle må spille etter de samme reglene og det vil sørge for en mer rettferdig kamp om kundene. Om du skal kunne skape verdi i egen bedrift fra data, må du først ha kontroll over: Hva du har, hvor du har det, og hva du har lov til å gjøre med det.

I den grad du har lov å beholde og behandle noe personlig data kalles dette for «behandlingsgrunnlaget». Dvs. grunnlaget din bedrift har for å behandle data om deres kunder eller potensielle kunder.

Alle bedrifter må ha en Personvernerklæring, som tydelig informerer kundene om hvilken data som samles inn, behandles og lagres, samt hva dataen brukes til.

Om du vil se et eksempel på hvordan dette kan gjøres, ta en titt på vår egen her

Det kan fort bli forvirrende når man blander dette sammen med behandling av data på vegne av andre. La oss rydde opp i dette. Du er Databehandler når du behandler data som leverandør til en annen bedrift. Eksempelvis om du har en nettside og har bedriftskunder/-brukere som legger inn innhold på denne plattformen, er du databehandler for all data som lagres der. Det er ikke DIN bedrifts innhold på plattformen. Du bare stiller med plattformen og brukerne som tar i bruk tjenesten må opplyse sine kunder om dette i sin personvernerklæring.


Det er i denne forbindelse du må ha tydelige retningslinjer for hva dine brukere kan lovlig gjøre med denne plattformen. Du plikter her å gjøre rede for at teknologien du eier ikke skal brukes til ulovlig behandling eller lagring av personlig data. Og hvordan du har tenkt å drive noe slik aktivitet etter reglene i forordningen. I slike tilfeller trenger du en Databehandleravtale.


Det er de bedrifter som tar i bruk en slik tjeneste fra deg som må ha en Personvernerklæring for hvordan de vil bruke tjenesten opp mot personvernhensyn.

Altså:

  • Databehandleravtale: For bedriftens behandling av personlig data på vegne av andre bedrifter.
  • Personvernerklæring: For bedriftens behandling av personlige data på vegne av deres egen bedrift.

 

Hva med formen da? Hvor strengt er dette?

Her strides de lærde. På en side har du de som sier at dette bare må være folkelig beskrevet i noen få paragrafer. Andre hevder at man må liste opp alle underleverandører og deres GDPR-erklæring eller tilsvarende sertifisering.

Det viktigste er at du sier noe om hvordan du samler inn, lagrer og behandler den personlige dataen du skal bruke. Altså ikke all data. Det ville vært farlig nære å avsløre industrihemmeligheter. Bare personlig data. Språket skal være så folkelig og tilgjengelig som mulig.

Så hva med samtykke? Hvordan skaffer vi det og hvordan må det utformes?

Her må du skille mellom hva du henter inn samtykke til. Så lenge datainnsamling ikke kan begrunnes med et annet behandlingsgrunnlag, må hver eneste behandling og bruk av data ha et samtykke. Skal du bruke navn og e-post for nyhetsbrevutsending? Da må du ha samtykke for markedsføringstiltak som spesifikt inkluderer dette.

Skal du bruke personlig data i analysehensikt, må brukere som inkluderes i datasettet ha samtykket spesifikt til denne typen analyse. Merk at samtykke ikke må gis på nytt for hver gang bedriften ønsker å utføre slik analyse. Men all data som brukes må ha samtykke. Skal du bruke data du har til ny hensikt? Samtykke. 

Merk også at brukere har rett til at når som helst trekke tilbake samtykket. Du må føre en log over dine samtykker slik at du enkelt kan endre status på individer som ønsker endring av samtykket og vet hvem du har samtykke fra.
Det må også finnes beskrivelse av rutiner for lagring, sletting og portering av personlig data i deres personvernerklæring.


Det høres fortsatt helt gresk ut sier du?

Ok. Se bort ifra reglene og veiledningene som tar for seg språk og form i GDPR-forordningen. Det du primært må gjøre er en kartlegging for å skaffe oversikt på bruken av personlig data, en så kalt Personvernkonsekvensvurdering. Vi kaller dette heretter PIA:

 

PIA (PRIVACY IMPACT ASSESSMENT).

Disse spørsmålene må du ha gode svar på for hver del av din bedrift:

Datainnsamling og lagring

  1. Hvordan blir personlig data prosessert i den delen av bedriften analysen tar seg for? Når dere gjør dette første gangen kan det være behov for flere PIA-runder fordelt hensiktsmessig over bedriftens informasjonsarkitektur.
  2. Hvordan blir dataen samlet og lagret over tid?
  3. Er dataen lagret lokalt på harddisker eller i skyen? Skyen betyr bare noen andre sin server.
  4. Hvor lenge blir dataen lagret? Og når blir den slettet?
  5. Er denne datainnsamlingen eller prosesseringen spesifikk, eksplisitt og lovlig?
  6. Hva er deres prosess for å skaffe samtykke for prosesseringen av denne dataen? Er samtykke eksplisitt og mulig å bekrefte for giveren?
  7. Hva er behandlingsgrunnlaget for samtykket?
  8. Om samtykket ikke er behandlingsgrunnlaget, hva er det? Hvilken juridisk grunn har dere til å samle dataen?
  9. Er dataen nøyaktig og oppdatert?
  10. Hvordan informerer dere brukerne om at behandlingen finner sted?
  11. Hvilken kontroll har brukerne over sin datasamling og lagring?

 

Teknisk sikkerhet

  1. Er dataen kryptert?
  2. Er dataen anonymisert eller pseudonymisert?
  3. Har dere backup?
  4. Hva er de sikkerhetstekniske tiltakene på stedet hvor dataen lagres?

 

Operatører

  1. Hvem har tilgang til denne dataen?
  2. Hva slags kvalifisering har disse operatørene?
  3. Hva slags kontrollmekanismer jobber disse operatørene mot?
  4. Hva slags rutiner har dere for oppdagelse og varsling av brudd på GDPR?

 

Tilgangsrettigheter for individet

  1. Hvordan får individet tilgang til dataen?
  2. Hvordan får individet portert dataen?
  3. Hvordan får individet slettet dataen?
  4. Hvordan får individet utøvet sin rett til å begrense og protestere bruk av sin data?

 

Juridisk

  1. Er alle forpliktelser om dataprosessering, inkludert underleverandører, dekket av en bindende kontrakt?
  2. Om dataen blir overført til utsiden av EU, hvilke beskyttende tiltak eller reguleringer finnes det? Og er man dekket av disse?

 

Risiko

  1. Hva er hovedkildene til risiko ved prosessering av personlig data?
  2. Hvilke steg kan dere ta for å begrense denne risikoen? Hvilke steg har dere allerede gjennomført?
  3. Hvilke uheldige konsekvenser kan oppstå om data blir misbrukt, stjålet eller prosessert uten nødvendig samtykke?
  4. Hvilken risiko er det for at dataen kan bli uhensiktsmessig modifisert der den er lagret?
  5. Hvilken konsekvens får det for individet om dataen blir mistet?

 

Oppsummering 

Med innføringen av GDPR vil reglene for personvern bli betraktelig mye strengere i hele EU/EØS. Heldigvis har vi i Norge tatt personvern alvorlig i langt større grad enn mange andre nasjoner, så omstillingen vil ikke bli like stor for oss.


Men det er likevel mye for bedrifter å sette seg inn i, og rutiner må dokumenteres og komme på plass. Det er imidlertid ikke kvaliteten av utformingen som er største poenget her. Det viktigste er nok snarere å gjennomføre (og dokumentere) en Personvernkonsekvensvurdering (PIA) og forsøke å finne gode svar på spørsmålene her. Og deretter forsøke å implementere gode løsninger for å sikre at beskyttelse av personlige data blir godt ivaretatt.


Da er dere godt i gang, og viser at bedriften har gode hensikter. Med dette får dere et langt bedre utgangspunkt i tilfelle Datatilsynet skulle komme på kontroll.

Små og mellomstore bedrifter har ofte mindre personlig data lagret eller behandler mindre som en ren konsekvens av størrelse men også av og til bransjefokus. Det betyr ikke at man ikke har behov for å ta GDPR like alvorlig som de store bedriftene. Det betyr bare at det ikke trenger å være fullt like mye jobb.

Nå ryktes det rundt det nasjonale leirbålet at da Norge er medlem av EØS og ikke EU, så vil ikke alt papirarbeid være klart i tide til 26. mai (Les: De har ikke oversatt dokumentene). Og at GDPR-forordningen dermed ikke vil tre i kraft her i Norge før en gang i september.


Flott! Vi har kanskje litt ekstra tid på oss. Men vil du sove bedre om nettene, ta imot vårt tips og begynn med å sette deg ordentlig inn i hva GDPR innebærer for din bedrift allerede i dag!


Vil du trenge hjelp med å bli klar i tide? Ta kontakt med en av våre dyktige medarbeidere for å avtale et møte.






<< Forrige         4 av 49        Neste >>
loader
MELD DEG PÅ VÅRT NYHETSBREV
VÅRT NETTVERK:
NXT/A2N er Fanbooster Certified Partner
loader