Illustrasjonsfoto.

Nye EU-regler krever om­fattende endringer for norske virksomheter

Snart får alle EU- og EØS-land et nytt personvernregelverk, som gir likere praksis på tvers av landene. Er din virksomhet rigget for det som i praksis blir en total utskifting av vår nasjonale personvernlovgiving? Somler du, står du i fare for å få et skyhøyt overtredelsesgebyr.

Eva Jarbekk
Publisert Sist oppdatert

Skrevet av Eva Jarbekk, advokat og partner i Føyen Torkildsen, og Inge Krogstad, seniorrådgiver i SAS Institute.

SYNSPUNKT Det å beskytte personlige data i en stadig mer digital verden er høyt prioritet i EU.

I dag spriker personvernsnivået EU-landene imellom, men nå iverksettes tiltak som skal gjøre alle EU- og EØS-land samstemte.

EUs nye «General Data Protection Regulation» pålegger alle private og offentlige virksomheter å redegjøre for bruk og lagring av personopplysninger fra mai 2018, samtidig som alle konsumenter og innbyggere får rett til å vite hvordan deres personlige data blir brukt.

De får samtidig rett til å få sine data fullstendig slettet og mange kan kreve automatisk flytting av data fra en behandlingsansvarlig til en annen. Dette får store konsekvenser for alle som lagrer persondata.

Økt ansvarliggjøring

De nye reglene blir krevende og legger langt større forpliktelser over på virksomhetene. Men de gjør det samtidig enklere å vite hvordan man skal behandle personopplysninger på en god og lovlig måte.

For både private og statlige virksomheter medfører dette både økt ansvar og behov for bedre rutiner.

Alle som lagrer eller benytter persondata må kunne svare på hvilke persondata som er lagret, til hvilket formål de skal benyttes, hvem som er ansvarlig for dem, og om de er godt nok sikret.

Det er ingen tvil om at dette er en viktig regelendring for politikerne. Det er besluttet å ta i bruk skyhøye overtredelsesgebyrer ved brudd på de nye reglene. Opptil 20 millioner euro, eller 4 prosent av den samlede omsetningen det foregående året, kan ende opp som gebyr. Det vil være dramatisk for de fleste selskaper.

Stor oppgave

For å skape en smidig innføring bør virksomheter fokusere på aktiviteter knyttet til systemer for markedsføring og salg, og databaser for kontrakter, underleverandører og service.

Oppgavene som her må gjennomføres er kartlegging av data og analyser av kildesystemer, dataflytanalyse, logging, monitorering, og kontroll av brukere og tilgangsrettigheter. Når dette er på plass må man oppdatere sine rutiner med hendelsesanalyse, administrasjon av retningslinjer og audit, samt få på plass et tilstrekkelig revisjonsspor.

Dette må på plass

Både private selskaper og offentlige aktører er nødt til å gjennomføre en del oppgaver i forhold til tilsynsmyndighetene:

  • Skaff oversikt over persondatakilder
  • Kartlegg risiko knyttet til persondata
  • Lag en oversikt over hvor persondataene finnes og hvor lenge de lagres
  • Utarbeid og innfør beskyttelsesmekanismer for persondata i alle prosesser der de brukes
  • Etabler tiltak som reduserer risiko
  • Etabler rutiner og prosess for audit og revisjonsspor

Man må også utføre en del oppgaver for å levere på dette «eksternt»:

  • Kartlegg og klassifiser persondata i virksomheten
  • Gjennomfør en konsekvens-/risikoanalyse (Privacy Impact Assessment)
  • Vurder beskyttelse av persondata
  • Logg tilgang og aktiviteter på persondatakildene
  • Etabler rutiner for sletting

Inge Krogstad


Seniorrådgiver i SAS Institute

nyheter
Powered by Labrador CMS