Den 25. mai 2018 trer den nye personvernforordningen i kraft. Det vil si at du har under et halvt år til å forberede din bedrift og bransje på den største endringen på personvernfronten på 20 år. Les hvorfor din bedrift bør sette personvern på agendaen.
Bakgrunnen for den nye personvernforordningen er et ønske om harmonisering og modernisering av dagens lovverk. Norges personopplysningslov slik den er i dag, er et resultat av EU-direktiv fra 1995 og er dermed ikke myntet på de enorme datamengdene vi behandler og gir fra oss i dagens samfunn.
Forordningen viderefører i stor grad dagens grunnprinsipper, hvilket vil si at selskaper som i dag arbeider i tråd med dagens lovverk er godt rustet. Mens selskaper som ikke har inngående kjennskap til personvernlovgivningen nå, bør ha et større fokus på dette frem mot 2018.
Nedenfor finner du de viktigste grunnene til å sette personvern på agendaen.
Strengere sanksjoner
Personvern er mer i vinden nå enn tidligere, og det skyldes bl.a. at EU har besluttet at det skal være strengere sanksjoner for brudd på personvernlovgivningen.
Per i dag har Datatilsynet mulighet til å ilegge overtredelsesgebyr med inntil 10 ganger grunnbeløpet (925 760,- NOK). Den nye forordningen åpner for at det skal kunne ilegges bøter opp til 20 millioner Euro eller 4 % av årlig omsetning.
I tillegg vil reglene om avviksrapportering skjerpes. Alle selskaper plikter å rapportere til Datatilsynet dersom det skjer sikkerhetsbrudd. Når den nye forordningen trer i kraft skal det rapporteres oftere og raskere enn man gjør i dag. Rapportene er offentlige, og omdømmekonsekvensene kan bli store. Det er derfor viktig å oppdatere rutiner for avvikshåndtering.
1. Oppdater rutiner for internkontroll
2. Start oppgradering av tekniske systemer
3. Utnevn eller ansett personvernombud
4. Utarbeid bransjenormer
Krav til «innebygd personvern» i datasystemer
Forordningen vil inneholde helt nye regler om innebygd personvern. Disse krever at nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte, og at personvern skal bygges inn i nye tekniske løsninger. Videre kreves det at den mest personvernvennlige innstillingen skal være standard i alle systemer. I dette ligger bl.a. at det skal legges til rette for tilgangsbegrensning, samt at det må gjøres enklere å rette, slette og endre personopplysninger.
Det tar som kjent tid å oppdatere systemer, og det anbefales derfor at arbeidet med oppgradering av tekniske systemer påbegynnes så snart som mulig.
Personvernombud
Mange selskaper har i dag en egen dedikert personvernressurs, et såkalt personvernombud. Per i dag er ordningen basert på frivillighet. Men når den nye forordningen trer i kraft vil det bli påbudt med personvernombud for alle offentlige virksomheter, virksomheter som bedriver systematisk overvåkning og virksomheter som behandler sensitive personopplysninger i stort omfang. Reglene fremstår ikke som helt klare i dag, men innen utgangen av 2016 vil EU legge frem retningslinjer som skal hjelpe til å definere omfanget slik at det vil bli lettere for virksomheter å vite om de vil bli berørt av disse nye reglene.
Ombudets oppgaver og rolle vil stort sett være de samme som i dag, men uavhengigheten til ombudet vil styrkes i den nye loven.
Utdanning og kursing av personvernombud er et av fokusområdene til Datatilsynet. Dersom det blir påbudt med personvernombud for ditt selskap anbefales det å starte arbeidet med å utpeke eller ansette et personvernombud.
Utarbeidelse og bruk av bransjenormer
Den nye lovgivningen og Datatilsynet legger opp til bruk av bransjenormer. En bransjenorm er en bransjes egne retningslinjer for bruk av personopplysninger og sikring av opplysninger.
Inkassobransjen har egen bransjenorm som ble utarbeidet og godkjent i 2008. Denne er nå moden for revisjon, for å tilfredsstille det nye lovverket. Virke Inkasso sitt lovutvalg er allerede godt i gang med dette arbeidet. Det anbefales at også andre bransjer går sammen og utarbeider felles bransjenorm.
