_82A4913-1aw

Personvern er ikke en engangsjobb

Personvern er ikke en engangsjobb

Publisert: 20/06/2019

Som tech-selskap har du hovedansvaret for personvernet til kundene dine. Det er et stort ansvar å ha. Spesielt etter at GDPR ble innført for et år siden. Har du styr på personvernet du forvalter?

Datatilsynet har hatt et rekordår etter at EUs nye personvernforordning (GDPR) ble innført i fjor. Antallet innmeldte avvik økte med 821 meldinger. Til sammenligning mottok tilsynet 349 avviksmeldinger året i forveien.

– Det er Datatilsynet som er øverste myndighet i Norge når det gjelder håndheving av prinsippene i GDPR, men det vi ofte ser er at det er media som skriver om brudd på dem, etter å ha fått tips fra publikum – og det er først da Datatilsynet kommer på banen, sier advokatfullmektig Anja Herud i Arktis Law.

Hun ivaretar henvendelsene tech-advokatfirmaet får når det kommer til personvernsspørsmål. Og dem har det blitt temmelig mange av etter at GDPR kom til. For innimellom går det galt.

Det gjorde det i Bergen i fjor. En 13 år gammel gutt klarte å skaffe seg adgang til personlige opplysninger til mer enn 35 000 elever og lærere i kommunen. Påtalemyndighetene mente 13-åringen skadet omdømmet til Bergen kommune. Men Datatilsynet mente politiet snudde saken på hodet: Han hadde tvert imot avdekket et kjempestort sikkerhetshull. Kommunen hadde selv påført seg et omdømmetap fordi de ikke hadde klart å ivareta sikkerheten. Konklusjon? Rekordbot på 1,6 millioner kroner til Bergen kommune.

– I Bergen kommune hadde de frie tekstbokser der elever og lærere kunne skrive inn opplysninger. Det betydde at det var enkelt å skrive mye, hvilket betyr at mottakeren risikerer å sitte med altfor mye personsensitiv informasjon. Ja, den behøver ikke engang være sensitiv, det holder at det er for mye av den! Ett av prinsippene i artikkel 5 i GDPR er at man ikke skal sitte med mer data enn nødvendig, fordi man ikke har noe lovlig grunnlag for å behandle informasjonen. De hadde heller ikke sørget for kontinuerlig sikkerhetsoppfølging. Med større dataomfang blir konsekvensene også større ved et eventuelt brudd.

Enorme mengder data – og mer bevisste forbrukere

– Jeg vil ikke si at forbrukerne er blåøyde, sier Anja Herud.

– Men vi er kanskje litt naive. Samtidig er GDPR en forbrukervennlig lovgivning. Den handler om å sette personvernet til enkeltpersoner i fokus, og spesielt er barn sikret. Som forbruker har du rett til å få vite hvordan personopplysninger om deg deles, hvordan selskapet fikk tak i dataene, og hvordan de skal brukes. Nå og i fremtiden. Det er også et skille mellom hva slags ansvar du har for personvernet til kundene dine, altså om du er behandlingsansvarlig eller databehandler. Som behandlingsansvarlig har du hovedansvaret. Og det er et stort ansvar.

– Det er snakk om enorme mengder data?

– Ja, og kommersielt sett sitter selskaper og tjenester på veldig mye kunnskap om hva folk klikker seg inn på, når på dagen de gjør det og så videre. De har kort og godt en utrolig innsikt i hvordan et menneske beveger seg på nett – og i det hele tatt. Denne viten representerer verdier som flere selskaper selger videre til tredjeparter – i anonymisert form. Det er smart å ha denne kommersielle oppsiden i bakhodet når man tenker på flyten av informasjon om kundene. For den stiller store krav til personvernhensynet.

– Hva har GDPR bidratt med på det året forordningen har vært i bruk?

– GDPR har satt fokus på at vi faktisk eier våre egne personopplysninger, til tross for at vi lever i et delingssamfunn. Og at vi ikke er nødt til å dele alt med alle. Eller sagt på en annen måte: Du har neppe lyst til å dele med hele verden at du har vært på legevakta klokka fire natt til søndag, selv om telefonen din har registrert det.

7 regler for god personvernhåndtering:

Arktis Laws beste råd for å holde personvernstunga rett i munnen:

  1. Vær i forkant: Forebygg istedenfor å reparere

Det er ikke nok å legge til personvern som en ettertanke. Kostnadene ved å rette feil og mangler på en app eller i et system som allerede er laget og tatt i bruk, kan være bli mye høyere enn hvis personvernhensynet bygges inn fra første sekund. Det beste er å tenke risikovurderinger for krenkelser av personvernet inn i hvert eneste utviklingsledd.

– Slik har det vært før GDPR. At noen lagde en app og så tenkte «Oi, vi må ha med noe informasjon om hva som skjer med de opplysningene vi samler inn». Det går ikke lenger. Nå må personvernet være innebygd. Du må tenke på det i forkant.

  1. Bare samle inn det du trenger: Ha strengt personvern som standardinnstilling

Vi lever i et delingssamfunn, men det betyr ikke at vi vil dele alt med alle. Forbrukerne regner med at de kan stole på tjenestetilbyderne. Og det skal de også kunne, i følge GDPR.

– Det handler om at forbrukerne skal ha tillit til de tjenestene eller app-ene de bruker. Det er et prinsipp i GDPR at behandling av personopplysninger skal identifiseres og beskrives presist. Personverninnstillingene skal som standard være satt på strengeste nivå. Ansvaret ligger hos deg som bedrift. Det er deg forbrukerne skal kunne stole på.

  1. Personvern er ikke en dugnad: Gjør personvern til en del av designet

Å ta hensyn til forbrukernes personvern er ikke en noe du må gjøre én gang. Det er en kontinuerlig prosess. Og du må begynne med å tenke på det allerede før du designer en app.

– Still deg selv spørsmålet «Hvordan løser vi personvernet i denne appen?». Først deretter kan du føye til funksjonaliteten du ønsker å ha. Å gå inn i etterkant betyr i praksis at du skal bruke tid og penger på noe du allerede skulle ha tenkt på. Det er mer bærekraftig å tenke personvernet inn i designet fra start. Personvern er ikke en dugnad, det er en gjennomgående, kontinuerlig prosess.

  1. Skap en rutine: Sørg for full funksjonalitet

Når du lager løsninger for brukerne dine, har de gjerne potensiale for en hel mengde forskjellig funksjonalitet. Men personvernet skal integreres først.

– Med mindre du for eksempel har gjort en konkret og forsvarlig interesseavveing mellom innsamlingen og personvernet, slik at bruken går overens med selskapets berettigede interesser i henhold til GDPR artikkel 6 nr 1, bokstav f, må du være klar til å droppe en eller annen designmessig vri dersom det ikke gir godt nok personvern. Det er den prioriteringen du må være klar til å ta. Vi lever i en teknologisk verden der det deles mer og mer, og det vil gjøre seg mer og mer gjeldende fremover. Da er det ekstra viktig å få på plass gode vaner. Om du gjør personvern til en del av måten du gjør ting på, blir det litt som å ha HMS til stede på en byggeplass. Det handler om å ha personvernhåndteringen på plass før skaden skjer. Personvern skal være innebygd ikke bare i IT-systemets design og oppbygging, men også i forretningspraksisen din.

  1. Gjør systemet ditt sikkert: Ivareta informasjonssikkerheten

I våre dager utfordrer teknologien grensene mellom personvern, brukervennlighet og tilgjengelighet. Det stiller større krav til ansvarligheten hos deg som behandlingsansvarlig. Det er din oppgave å sikre personopplysningene til brukerne – fra ende til annen. Ikke minst er det viktig å sørge for at uvedkommende ikke får tilgang til dem.

– Det er veldig inngripende i livene til de berørte brukerne dersom det skjer et sikkerhetsbrudd. Forbrukerne har rett til et privatliv – og så i en verden der vi deler så mye som vi gjør. Derfor må tjenestene du lager være sikret godt nok.

  1. Forbrukerne skal vite hva du gjør med informasjonen deres: Vær åpen

Det er konkrete krav i GDPR om at brukerne skal få vite hvilke opplysninger som samles inn, hvordan og hvorfor de samles inn, hvem som har tilgang til dem – og hva de skal brukes til.

– GDPR spiller på åpenhet: Du skal skjønne hvorfor du får en mail fra XXL med gode tilbud, ikke sant. De skal informere deg om at du har gitt dem lov til å sende deg slike mailer. Dette prinsippet går hånd i hånd med prinsippet om å samle inn akkurat nok opplysninger, men ikke mer enn du trenger. Det er ikke lenger snakk om ufrivillig deling av mye – og kanskje ikke relevant – informasjon. Prinsippet i GDPR er at brukeren selv skal velge om hun vil dele mer enn hun må.

  1. Personvern er et stort ansvar. Og det er ditt: Respektér brukernes personvern

EUs personvernforordning bygger direkte på EUs pakt om grunnleggende rettigheter for innbyggerne. Og det er ditt ansvar som bedrift å respektere brukernes personvern.

– GDPR handler om å sette enkeltpersoner i fokus. Og når det handler om å håndtere personopplysningene til brukerne, er det ditt ansvar at deres rettigheter og friheter er ivaretatt. Mange bedrifter har ikke oversikt over mengden av innsamlet data de faktisk sitter på. Men du gjør smart i å få styr på det. For det er ditt ansvar.

Vil du lære mer om juridiske og forretningsmessige spørsmål knyttet til digitalisering og teknologi?

Skriv inn din e-post for å få den nyeste innsikten og læringsmulighetene fra Arktis Law.

Vil du lære mer om juridiske og forretningsmessige spørsmål knyttet til digitalisering og teknologi?

Skriv inn din e-post for å få den nyeste innsikten og læringsmulighetene fra Arktis Law.