IT-Gruk 9/2022: Er du lei av GDPR? 7 forfriskende punkter til etterlevelse

En advokatkollega kunne for noen dager siden rapportere på LinkedIn at Datatilsynets nye direktør, Line Coll, som selv inntil nå har vært privatpraktiserende advokat og gitt råd om etterlevelse av personvernregelverket (GDPR), hadde uttalt: «Vi har sittet veldig tett på trestammen. Målet er at Datatilsynet skal bevege seg litt lengre ut på kvisten når det gjelder operasjonaliseringen av GDPR».

I dette ligger en anerkjennelse av et behov for å gi mer praktisk rådgivning om GDPR, og kanskje nettopp overkomme en regelverkstretthet fordi virksomheter ikke alltid skjønner hvorfor personregelverket er viktig og derfor heller ikke legger til rette for hvordan virksomheten skal etterleve regelverket.

De siste ukene har det også vært publisert flere artikler på digi.no om regeltretthet. Først ute var advokat Thomas Flo Haugaard, i Bryn Aarflot, med innlegget «Har du husket å føle deg GDPR-utmattet i dag?» som ble fulgt opp at Ove A. Vanebo, i CMS Kluge, med tittelen «GDPR-utmattelse kan kureres!». Og ja, jeg tror definitivt trettheten kan kureres, men ikke før vi konkretiserer og tydeliggjør pliktene etter regelverket.

Anerkjennelsen av behovet for godt personvern er ikke alltid like lett å forklare. En variant har vært å bruke pisk og forklare hvordan brudd på regelverket kan medføre både erstatningsansvar og overtredelsesgebyr. Trussel om økonomiske sanksjoner har sin begrensning overfor mange bedriftsledere, selv om erfaringer viser at europeiske datatilsyn straffer spesielt store virksomheter hardt ved brudd på GDPR. Det er like viktig å synliggjøre at godt personvern har en positiv side, en gulrot, blant annet knyttet til kontroll over verdier i et selskap og tillit fra markedet.

Jeg pleier å bruke en analogi om innføringen av GDPR i Europa, som for mange ble oppfattet som en innføring av et helt nytt regelverk over natten. Grunnen til det fokuset, tror jeg var at reglene i 2018 kom med en trussel om langt større gebyr ved regelverksbrudd enn tidligere. GDPR introduserte på en måte en plikt til å ha «regnskapsmessig» kontroll og dokumentasjon over hvilke personopplysninger som behandles, hvorfor og hvordan. Og her kommer analogien inn; tenk om alle virksomheter hadde styrt økonomien sin gjennom kvitteringer på servietter og fysiske pengekasser. Det er mang et idrettslag eller forening som tidligere klarte seg fint med enkle midler. Hadde du innført dagens bokføringsregler over natten så kan du være sikker på at mange virksomheter hadde slitt og ikke sett verdien av god kontoføring. Der er vi i dag med personvernet. Det kom raskt over natten og ikke alle klarer verken å se verdien av kontroll eller behovet for oversikt over sine egne personopplysninger. Personvernet blir som hår i suppen og ekstra irriterende med alt fokus på GDPR som treffer vedkommende privat med samtykke her og cookies-klikking der.

Godt personvern er ingen selvfølge. Det må innføres og følges opp, og virksomheter må sette av tid og ressurser til arbeidet. Det gjelder både ved innføring av et godt internt regime for å sikre kontroll og dokumentasjon, og deretter regelmessig og ved endringer. Dermed kan virksomheten sikre dokumentasjon og vise passende tilnærming og tiltak for sikring av virksomhetens informasjon. Her er det også viktig å se at godt personvern bidrar til god informasjonssikkerhet, mens god informasjonssikkerhet ikke nødvendigvis medfører godt personvern. Vurder derfor alltid god sikkerhet i to separate spor; en for virksomhetens behov for informasjonssikkerhet og en for sikring av rettighetene og frihetene til de personer hvis personopplysninger som behandles, altså personvernet til de registrerte. Dette kan igjen oversettes til å skape tillit til virksomheten og dennes håndtering av personopplysninger til alle samarbeidspartnere, kunder og andre registrerte, samt tillit fra investorer til at virksomheten vet å beskytte sine verdier og etterleve regler. Da kan personvern bli en gulrot i virksomheten.

Vår erfaring er at GDPR-compliance ikke nødvendigvis krever fryktelig mye tid og ressurser. For virksomheter eller bedrifter innen eksempelvis SMB-markedet vil det være viktig med en tilpasset tilnærming understøttet av konkrete handlinger og prosesser. I bunn av vårt metodeverk har vi 7 spørsmål som virksomheter som behandler personopplysninger bør stille seg ved implementering og etterlevelse av GDPR, og som leder til konkrete resultater som kan dokumentere GDPR-compliance. Dette kan igjen lede til mindre regelverkstretthet.

• Ansvarsmatrise – Hvem er ansvarlig for den daglige etterlevelsen av GDPR? Sørg for å etablere en god ansvarsstruktur fra daglig leder i virksomheten til de som står nær behandlingene og som må involveres, eksempelvis der det finnet et personvernombud. Virksomheten må også beslutte og avsette tid til arbeidet med GDPR. Dette bidrar til god internkontroll og rapportering.
• Få oversikt: Hvilke behandlinger av personopplysninger gjør vi? For mange virksomheten så trenger ikke dette å være veldig komplisert, men vi har ofte sett at gjennom dilemmatrening oppdager virksomhetene behandlinger av personopplysninger de ikke hadde tatt i betraktning, eksempelvis bruk av adgangskort og printlogg.
• Dokumenter: Hvordan er behandlingene av personopplysninger dokumentert? Sørg for å dokumentere behandlingene og dokumentere etterlevelse av kravene til behandling etter GDPR, slik som eksempelvis lovligheten, formål, dataminimering, risikovurderinger, sletting, relevante vurderinger og databehandleravtaler.
• Rutinedokumentasjon: Hva har virksomheten av skriftlige rutiner for å etterleve GDPR? Sammen med dokumentasjonen bør det etableres gode interne rutiner for behandling av personopplysninger, slik som regler om varsling, hvordan behandlingsprotokollen skal revideres og krav til sikkerhet for å ivareta personvernet.
• Sikkerhet og tiltak: Hvordan ivaretas informasjonssikkerheten og personvernsikkerheten? I mange tilfeller har tilsyn slått ned på dårlig informasjonssikkerhet. Hva finnes av oppdaterte retningslinjer for sikkerhet, og hvem og hvordan ivaretas det ift. både fysisk og digital løsning.
• Informasjonsplikt: Hvordan ivaretas de registrertes rettigheter og plikter? Her bør det regelmessig gjennomgås hva som finnes av informasjon til de registrerte og hvordan disses rettigheter og friheter blir ivaretatt. Vi har eksempelvis gode erfaringer med opplæring av nøkkelressurser og medarbeidere som ofte jobber med personopplysninger, slik som dilemmatrening for å konkretisere utfordringene disse møter i sin hverdag. Alt er ikke relevant for alle.
• Revisjon: Hvordan sikrer du løpende etterlevelse og når er neste gjennomgang? Mange virksomheter implementerte GDPR i 2018, og så har arbeidet blitt liggende nederst i skuffen. Her syndes det, og det er derfor viktig med en regelmessig gjennomgang og kompetente ressurser til å bidra til løpende etterlevelse.

Og ja, noen ganger kan det lønne seg å kontakte en ekstern rådgiver eller advokat som kan bidra til å iverksette og drive enkelte prosesser fremover. Og nei, du kan ikke løse regelverkstretthet ved å overlate slike prosesser til eksterne rådgivere. Behandler du personopplysninger så må du selv ta ansvaret for at behandlingen følger – løpende – regelverket.

GRETTE TEKNOLOGI OG DIGITALISERING: NYHETSBREV | FROKOSTMØTE: Ønsker du å få tilsendt våre korte nyhetsbrev innen IT og personvern, så kan du melde deg på her eller send en mail til ITogPersonvern@grette.no. Tidligere IT-Gruk’er er tilgjengelige på Grette nyhetssider.