GDPR: Hva betyr det for deg som informasjonsforvalter?

Nytt er også at bedriftene i større grad skal stilles til ansvar for informasjonen de henter, og at de som ikke opptrer ansvarlig skal straffes. Hardt. Inntil fire prosent av brutto omsetning (riktig nok begrenset oppad til 20 millioner euro) er rammen for bøter ved brudd på forordningen. Dette er en kraftig skjerpelse av dagens nivå hvor strafferammen er begrenset oppad til 10G.

Vi har i samarbeid med vår advokat trukket frem noen områder og bestemmelser som endrer dagens regelverk og som vi mener informasjonsforvaltere bør være spesielt oppmerksomme på...

Retten til dataportabilitet

Dataportabilitet skal gi borgerne større eiendomsrett til sine personopplysninger og gi muligheten til å overføre disse opplysningene til andre leverandører. Dette gjelder kun personopplysninger hvor behandlingsgrunnlaget er samtykke, eller for oppfyllelse av en avtale med den registrerte.

Retten innebærer at den registrerte har rett til å få utlevert sine personopplysninger i et "structured and commonly used and machine-readable format" (art. 18). Det skal også tilrettelegges for at utleveringen kan skje direkte fra en leverandør til en annen.

Hva slags type format og hvordan dette kan gjøres i praksis er ikke regulert. Trolig vil det komme anbefalinger og retningslinjer knyttet til en slik utlevering. Slik vi ser det bør leverandørene implementere funksjonalitet i it-løsningene slik at det blir minst mulig arbeid med å finne frem aktuelle personopplysninger og eksportere disse i et strukturert format.

Denne retten har også en side til innsynsretten (se nedenfor).

"Retten til å bli glemt"

Retten til å bli glemt gir borgerne større rett enn i dag til å få slettet personopplysninger som ikke lenger er relevante (art. 17). Dette vil for eksempel være at opplysningene ikke lenger er nødvendige for å oppnå formålet med behandlingen, den registrerte trekker tilbake samtykke, eller at behandlingen har vært ulovlig. Slettingen skal skje uten unødig opphold.

Denne retten gjør det nødvendig for leverandørene å ha funksjonalitet i it-løsningene som gjør at aktuelle personopplysninger kan identifiseres og permanent slettes.

Rett til innsyn og retting

Den registrertes rett til innsyn og retting gjelder også i dag og blir videreført. Den registrerte har rett til å få innsyn i blant annet hvordan personopplysningene behandles, hvilke opplysninger som behandles, formålet med behandlingen og  evt. mottakere av opplysninger (art. 15). I tillegg kan den registrerte kreve at feilaktige opplysninger rettes (art. 16).

Det som imidlertid er nytt knyttet til innsynsretten er informasjon om "the period for which the personal data will be stored, or if this is not possible, the criteria used to determine this period". Dette henger sammen med at personopplysninger ikke skal behandles lenger enn nødvendig for å oppfylle formålet med behandlingen. Forordningen legger opp til at den behandlingsansvarlig skal gjøre en vurdering av dette tidsperspektivet. Når behandlingen ikke lenger er nødvendig skal opplysningene slettes.

Reguleringen av dataportabilitet, retten til å bli glemt og innsynsretten gjør at leverandørene av it-løsningene bør implementere funksjonalitet for å identifisere aktuelle personopplysninger, lagre informasjon, behandlingstid og for sletting. Manuelle rutiner for dette vil kunne medføre mye unødvendig arbeid, og redusere muligheten for etterlevelse av regelverket (non-compliance).

Fokus på informasjonssikkerhet

Forordningen strammer inn kravene til informasjonssikkerhet knyttet til behandling av personopplysninger. Kravene til informasjonssikkerhet gjelder for både behandlingsansvarlig og databehandler. I dagens regelverk er databehandlers selvstendige ansvar for informasjonssikkerhet noe uklar.

Det skal gjøres en risikovurdering av behandlingen, og basert på risikovurderingene skal det iverksettes tiltak for å sikre informasjonssikkerhet. Tiltakene skal være en balanse mellom tekniske muligheter og kostnader på den ene siden og risikonivået på den andre (art. 30).

Tiltak som forordningen fokuserer på er pseudonymisering, kryptering, tekniske løsninger for å sikre konfidensialitet, integritet, tilgjengelighet og robusthet, gjenopprettelse av tilgjengelighet og tilgang, prosedyrer for testing av informasjonssikkerhet og etterfølgende evaluering.

Både behandlingsansvarlig og databehandler skal gjennomføre risikovurderinger knyttet til behandlingen, og etablere nødvendig internkontroll.

Forordningen fremhever spesielt konseptet innebygd personvern ("data protection by design and by default", art. 23). Dette konseptet innebærer blant annet at personvern skal sikres med funksjonalitet i selve it-løsningene (som f.eks. pseudonymisering, kryptering, dataminimering og tilgangskontroller). I tillegg skal det tas hensyn til personvern i alle utviklingsfaser av en løsning.

Forordningen gir ikke så mye veiledning på hva kravene til innebygd personvern innebærer, men her vil det nok komme retningslinjer fra EU om hvordan dette skal gjennomføres i konteksten av forordningen.

Datatilsynet har noe veiledning knyttet til dette (https://www.datatilsynet.no/Teknologi/Innebygd-personvern), men konseptet er ikke nytt: https://www.ipc.on.ca/english/privacy/introduction-to- pbd/.

Leverandørene bør uansett tilrettelegge for bruk av dette konseptet i utviklingen av sine løsninger. Dette kan bidra til at leverandørene kan selge inn løsninger hvor personvern er ivaretatt i hele livssyklusen til selve løsningen og behandlingene av personopplysningene.

Strengere dokumentasjonskrav

Det eksisterer i dag flere dokumentasjonskrav – både til informasjonssikkerhet, risikovurderinger og internkontroll. Som nevnt er kravene i utgangspunktet rettet mot behandlingsansvarlig, men i forordningene er det selvstendige dokumentasjonskrav også for databehandler.

Spesielt er dokumentasjonskrav når det gjelder hvordan behandlingen skjer og hva som behandles innskjerpet. Både behandlingsansvarlig og databehandler skal dokumentere kontaktinformasjon, formålet med behandlingene, kategorier av registrerte, hvilke opplysninger som behandles, evt. mottakere av opplysninger, evt. overføring til tredjeland (utenfor EU), forventede tidsfrister for sletting, beskrivelse av informasjonssikkerhet (art. 28).

Disse dokumentasjonskravene gjelder likevel ikke fullt ut for mindre virksomheter som ikke behandler sensitive personopplysninger.

Ellers er det nå også krav til at også databehandler har et selvstendig ansvar overfor tilsynsmyndigheter og bistand til disse ved f.eks. et tilsyn.

Slik kommer du i gang 

Det er lett å bli svett av hva som kreves og hvilke sanksjonsmuligheter som kan benyttes for å håndheve den nye forordningen.

Datatilsynet og flere andre aktører har laget enkle guider for hvordan man kan imøtekomme lovgivningen.
Noen har pekt på at implementering av ISO/IEC 27001 ISMS kan være en god start...

Å velge leverandører og løsninger som er i forkant av utfordringene kan også være et godt tips...

http://www.eugdpr.org/

*TU.no (Respons Analyse, februar 2017)