Vi har laget en hendig oppsummering av hva GDPR innebærer for både virksomheter og borgere.

 

Hva betyr GDPR?

General Data Protection Regulation

Hva er bakgrunnen for GDPR?

EU-kommisjonen annonserte i januar 2012 planer for en reform av datasikkerhet i hele EU for å gjøre Europa «klar for den digital tidsalder». Nesten fire år senere kom man til enighet om hva den ambisjonen innebar og hvordan den skal håndheves.

GDPR er en av grunnpilarene i denne reformen. Den er et rammeverk som omfatter alle organisasjoner i alle medlemslandene og har implikasjoner for virksomheter og individer i hele Europa, og for alle som jobber med europeiske virksomheter.

Dette sa Andrus Ansip, visepresident for Digital Single Market da reformen ble annonsert i desember 2015: «Europas digitale fremtid kan kun bygges på tillit. Solide felles standarder for datasikkerhet kan gjøre folk sikre på at de har kontroll over sin personlige informasjon.»

Hva er GDPR?

GDPR er et sett med regler som gir borgere større kontroll over sin personlige data. Regelverket skal gjøre det enklere for både borgere og virksomheter å utnytte den digitale økonomien. Reformen er ment å oppdatere lovverket og plikter rundt datasikkerhet, privatliv og samtykke, til nettalderen. Det er tuftet på innsikten om at nesten alt i våre liv dreier på en eller annen måte dreier seg om data. Enten det er sosiale medier, banken, myndighetene eller nettbutikken, dreier tjenestene vi bruker om innsamling, analyse og lagring av vår persondata.

Hva er GDPR compliance?

Databrudd forekommer. Informasjon kommer på avveie og gjerne i hendene på folk med uhederlige hensikter. Under GDPR må virksomheter ikke bare sikre at persondata samles inn på lovlig vis. De som samler inn og håndterer dataen er også forpliktet til å beskytte dataen fra misbruk i henhold til borgernes rettigheter – og straffes for å ikke gjøre det.

Hvem gjelder GDPR for?

GDPR omfatter enhver virksomhet som operer i EU, inklusive virksomheter utenfor EU som tilbyr varer og tjenester på det europeiske markedet. Det betyr at nesten alle store selskaper i verden må etterleve GDPR. Lovgivningen omhandler (i paragraf 4) to typer behandlere av data: «behandlingsansvarlig» og «databehandler».

En behandlingsansvarlig er «en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes», mens en databehandler er «en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.»

Datatilsynet sier dette innebærer at du sitter med betydelig større juridisk ansvar om du er ansvarlig for et datainnbrudd.  At databehandlere også har slike plikter er nytt under GDPR. Behandlingsansvarlige må sørge for at alle kontrakter med databehandlere er i samsvar med GDPR.

Hva er persondata under GDPR?

Persondata er alle opplysninger som direkte eller indirekte kan knyttes til deg.

Hva innebærer GDPR for virksomheter?

GDPR etablerer et sett med regler for datasikkerhet som gjelder alle virksomheter som handler i EU-stater. Dette betyr at internasjonale organisasjoner som har aktivitet i Europa er underlagt GDPR. Det betyr også at selv om for eksempel norske myndigheter skulle være sene med å implementere sanksjoner for brudd på GDPRs regler, er norske virksomheter som handler med andre europeiske land fortsatt underlagt GDPR.

Tanken er at et harmonisert regelverk skal gjøre det enklere å drive næringsvirksomhet i EU. Kommisjonen tror også at GDPR vil stimulere til økt innovasjon. De tror regelverket vil garantere at datasikkerhet bygges inn i varer og tjenester alt fra tidlig produktutvikling, og dermed sikrer «databeskyttelse ved design» i nye produkter og teknologi.

Virksomheter oppfordres til å implementere «pseudonymisering» for å gavne fra innsamling og analyse av persondata samtidig som borgernes rettigheter beskyttes.

Hva betyr GDPR for borgerne/kundene?

Sannsynligvis vil de fleste allerede ha opplevd at databrudd har gjort at deres persondata er kommet på avveie. En av GDPRs største endringer er at borgere får rett til å vite når persondataen deres er blitt hacket. Virksomheter pålegges å gi myndighetene så raskt som mulig for å sikre at borgerne raskt kan sørge for at persondataen ikke kan misbrukes.

Forbrukere skal også få enklere tilgang til deres egen persondata og hvordan den behandles og brukes. Dette skal forklares på en tydelig og forståelig måte.

Dette kan være så enkelt som å sende kundene en epost med informasjon om hvordan persondataen deres benyttes, sammen med en «opt-out» hvis de ikke gir sitt samtykke. Mange innen netthandel og markedsføring har allerede kontaktet kundene for å spørre om de vil være en del av databasen deres. Det skal være enkelt å velge vekk deltagelse.

GDPR klargjør også den såkalte «retten til å bli glemt»-prosessen, som styrker borgernes rett til å få persondataen sin slettet, gitt at det ikke finnes grunnlag for å sitte på det.

Hva er et GDPR-varsel om brudd?

GDPR pålegger alle virksomheter å rapportere visse typer brudd på regelverket. I noen tilfeller må det meldes også til borgerne som påvirkes av bruddet. Virksomheter pålegges å rapportere alle brudd som kan føre til høyere risiko for borgerens rettigheter og friheter og som kan føre til diskriminering, skade på rykte, finansielle tap, tap av konfidensialitet, eller andre økonomiske eller sosiale ulemper. Med andre ord, hvis en borgers navn, fødselsdata, helseinformasjon, bankdetaljer eller andre private og personlige data om borgeren er på avveie, må både vedkommende og myndighetene varsles slik at alle mulige skritt kan tas for å forhindre skade.

Dette gjøres via et varsel som må leveres direkte til offeret. Informasjonen kan ikke kun kunngjøres i en pressemelding, på sosiale medier , eller på virksomhetens nettside.

Når må en virksomhet lage et varsel om brudd?

Bruddet må rapporteres til myndighetene innen 72 timer fra virksomhetene først ble oppmerksom på bruddet. Er bruddet derimot alvorlig nok til at kundene eller publikum må underrettes, sier GDPR at de må underrettes umiddelbart.

Hva er GDPRs sanksjoner for manglende etterlevelse av reglene?

Hvis en virksomhet ikke etterlever GDPR kan den påføres bøter opp til 4 prosent av virksomhetens globale omsetning, som for enkelte bedrifter kan bety milliarder av euro. Botens størrelse vil avhenge av alvorlighetsgraden i bruddet, og hvorvidt virksomhetene anses å ha forsøkt å etterleve reglene på en god måte. Maksboten på 20 millioner euro eller 4 prosent av omsetningen – det som er størst – kan gis om individenes rettigheter brytes, ved uautorisert internasjonal overføring av persondata, manglende rutiner, eller for å ignorere borgernes rettigheter.

En mindre bot på 10 millioner euro eller 2 prosent av den globale omsetningen gis til virksomheter som feilbehandler data på andre måter. Dette kan gjelde for eksempel manglende rapportering av databrudd og manglende datasikkerhet.

Hva skal være i et varsel om databrudd?

En virksomhet kan miste kontrollen over persondata som et resultat av et cyberangrep, menneskelig svikt eller andre ting. Virksomhetene må da levere et varsel om databrudd.

Varselet må inneholde kategoriene på informasjonen som er kompromittert og antallet borgere som er berørt. Det må også beskrives de mulige konsekvensene av databruddet, så som tyveri av penger og identitet, samt hvilke tiltak som er iverksatt. Det må også foreligge informasjon om hvordan den berørte og myndigheter kommer i kontakt med virksomheten.

Når må vi ansette et personvernombud?

En virksomhet må ansette et personvernombud (Data Protection Officer – DPO) hvis den behandler personopplysninger i stor skala, har mer enn 250 ansatte, eller er en offentlig myndighet.

Offentlige myndigheter kan utnevne en DPO på tvers av flere organisasjoner. Uavhengig av om det er obligatorisk med en DPO, plikter alle virksomheter å sørge for at de har kompetansen og personell til å etterleve GDPR. Det spesifiseres ikke konkrete kvalifikasjoner.

Hvordan ser etterlevelse av GDPR ut?

GDPR kan virke komplisert, men konsoliderer i det store og hele prinsippene fra tidligere forordninger.

Det finnes ikke én god oppskrift for hva en virksomhet må gjøre for å etterleve GDPR. Hver virksomhet må vurdere egne behov og identifisere hvem som har ansvaret for etterlevelse.

Du forventes å ha på plass omfattende men proporsjonale tiltak for å minimere risikoen for databrudd. Ansvaret for dette kan hvile på enkeltpersoner i en virksomhet eller på hele avdelinger i større selskaper. Uansett må økonomi-, system- og personalavdelingene alle måtte vurdere tiltak.

<se «4 skritt til å etterleve GDPR»>

Under GDPR må virksomheter innføre nødvendige tekniske og organisatoriske tiltak. Dette kan inkludere datasikkerhetstiltak (trening av personell, interne rutiner for databehandling, og vurdering av HR-rutiner), så vel som dokumentering av databehandlingsaktiviteter. Andre tiltak kan være pseudonymisering og dataminimering, eller å la kunder/borgere selv overvåke databehandlingen.

<Les «Hvordan ICONFIRM hjelper>