Har du sikret personopplysningene godt nok?

Hvordan lagrer og oppbevarer du sensitiv informasjon om andre?

Husk at fra 25. mai strammer lovverket inn på reglene for personvernopplysninger. Innen den tid må du sette deg inn i et par ting for å unngå bøter.

Se "sjekklisten" du må gjennomgå.

Først av alt – hva er egentlig sensitive personopplysninger?
Personopplysninger er all informasjon (faktisk opplysninger og vurderinger) som direkte eller indirekte kan knyttes til en identifiserbar person. Det er typisk navn, adresse, kontaktinfo, bilder, IP-adresse osv.

Behandling av slikt, enten elektronisk eller i fysisk register, kan ikke skje fritt, men underlagt strenge regler, forteller advokat Per Jakob Haakstad, partner i advokatfirma Haakstad & CO DA, Arendal.

- Enda strengere er det om man behandler sensitive personopplysninger, f. eks om etnisitet eller helse, tilføyer han.

Hindre at opplysninger kommer ut
- Det handler om personvernet. Bedrifter og andre skal hindre at opplysninger om private personer brukes urettmessig. Det finnes mange eksempler på brudd på personopplysningsvernet. Ett eksempel er kameraovervåkning.

I butikker hvor de ansatte ikke har fått informasjon om at det er kameraovervåkning ved kassa, bryter de personvernloven, sier Haakstad.

Slike ting skal det opplyses om. Tiltaket må også være strengt nødvendig. Det har vært tilfeller hvor bevismateriale fra f. eks kameraovervåkning ikke kunne bli brukt mot den mistenkte, siden det har vært ulovlig innhentet. 

Ny lov
EUs nye personvernforordning (GDPR) blir en del av norsk lovgivning 25.mai. GDPR, som står for EU General Data Protection Regulation, er et vanskelig tema. Etter mai endrer vi lovene for å følge EU-reglene. Det betyr at det blir enda strengere regler for å ivareta personvernet.
Da blir allerede strenge personvernplikter, skjerpet.

Lover som markedsføringsloven og arbeidsmiljøloven gjelder fortsatt, men denne loven kommer i tillegg.

-    Hvem gjelder den for?
Den gjelder for både små og store bedrifter, sier Haakstad, og pliktene gjelder overfor alle fysiske personer som bedriften behandler personopplysninger om, typisk private kunder og ikke minst ansatte. I tillegg skal man ha på plass en god internkontroll m.v.

Rette og slette
Som forbruker vil du som individ nå etter de nye reglene få større rett til å både få innsyn, kunne rette og komplettere informasjon om deg selv på nettet og slette deg selv for eksempel fra lister eller nettsider hvor du mener du ikke har gitt samtykke til å bli profilert.
Du kan melde fra om slike forhold dersom du er utsatt for dette.
Både det offentlige, private bedrifter, foreninger og i noen tilfeller privatpersoner rammes av loven.

Ikke utsett det
Som bedrift er det smart å begynne planleggingen av datasikringen allerede nå.
Alt vi gjør av elektroniske personopplysninger, all bruk og lagring, kommer inn under loven. Det gjelder ikke for papirbasert arkiv, med unntak av personopplysninger som er sammenstilt til et personregister.

- Noen har ikke startet ennå, og bare dytter det under teppet. Det går på holdningen i selskapet i forhold til å håndtere personvern. Vi trenger derfor informasjonskampanjer i organisasjonene for å bevisstgjøre folk og øke bevisstheten rundt GDPR, sier Trond Marius Gabrielsen, salgssjef hos Serit IT Østereng.

Mister du for eksempel en minnepinne med opplysninger om personer, er det ikke alle som vet at dette nå må meldes inn til Datatilsynet som avvik i løpet av 72 timer.

Ledelsen har ansvaret
Det er ledelsen i bedriften som har ansvar for å påse at loven følges. Men ansvaret delegeres ofte innenfor virksomheten. Styret, daglig leder, IT-ansvarlig og personvernombud internt i bedriften må sørge for at prosedyrene blir fulgt. Utenfor virksomheten har bedriften gjerne en databehandler eller en sky-leverandør som de også må forholde seg til for å sikre at bedriften er i henhold til GDPR.

- Få en oversikt nå over hvilke personopplysninger bedriften behandler, er rådet fra Haakstad, og foreta en avviksanalyse mellom lovens krav og hva bedriften faktisk gjør. Avvik må lukkes, og det må lages en internkontrolldokumentasjon for bedriften. Sjekklisten (se ramme), er eksempler på spørsmål bedriften må starte med å gjennomgå. 

Gebyrene øker
- Det som skjer nå er at det trer i gang en ny norsk lov med 24 paragrafer. Du vil få økte gebyrer om loven brytes, men det blir ikke lenger straffbart. Hva som i praksis blir et «normalnivå» gjenstår å se, men det kommer til å svi å bryte GDPR, sier Haakstad. Maksimalt kan man bli belastet med opptil 20 mill Euro, eller som foretak 4 prosent av omsetningen, hvis høyere.

Det vil ikke være meldeplikt, men heller et større ansvar på hver enkelt bedrift å overholde loven. Men det kan være vanskelig å vite hvilke plikter som gjelder din bedrift.

- Dokumenter uansett de valg og vurderinger dere foretar, råder adv. Haakstad, f eks at dere evt. mener dere ikke trenger Personvernombud.

Men merk: Behandler dere personopplysninger i stor skala, typisk sensitive personopplysninger, må dere ha personvernombud.

Hvorfor får vi denne nye loven?
-    Det er for å øke personvernet, og for å få like regler med EU. Det er en lovbestemt plikt å følge de nye lovene, sier juristen.

På EUs egen GDPR-portal, står det at dette er den viktigste endringen i privat datasikkerhet på 20 år.

Et spørsmål vi kan stille oss selv neste gang vi ber om personlige opplysninger som skal lagres i bedriften, er om vi trenger alle opplysningene vi ber om. Trenger vi egentlig personnummeret? Og har du vasket navnelistene for dem som ikke lenger er aktuelle å ha der? Det kan koste deg dyrt å la være.

Les mer her: www.datatilsynet.no

 

Tekst & foto: Birte Hegerlund Runde