Tekst: Christian Butenschøn

En fantastisk og lang sommer nærmer seg slutten og helt siden mai har det blitt satt rekorder med sol og varme. I samme periode har vi – og resten av EU – fått en ny personopplysningslov, og mens solen har varmet skjær, hav og frosne nordmenn har epostkontoer og nettlesere blitt fylt opp av meldinger fra firmaer som sier de tar mitt og ditt personvern på alvor. Men, stikk i strid med forordningens intensjoner så er tekstene lange, kompliserte og noe de færreste faktisk leser. Har GDPR snublet på startstreken?

Mange setter likhetstegn mellom samtykker til nyhetsbrev og GDPR. Det er misforstått og helt feil!

Åpenhet er et nøkkelprinsipp i den nye forordningen og retten til å bli informert er sentral. Derfor stilles det også krav til klarspråk med enkle og forståelige formuleringer. Samtidig er en tommelfingerregel er at ingen skal bli overrasket over hva dataene sine blir brukt til. GDPR stiller følgelig en rekke krav til hvilken informasjon som skal bli gitt. Her er det en vanskelig balansegang, men anbefalingen er å gjøre en enkel og spesifikk personvernerklæring, lett tilgjengelig i språk og som dekker i) hvem behandlingsansvarlig er, ii) hva formålet med behandlingen er og iii) oversikt over alle rettighetene. I tillegg kan en link til den detaljerte personvernerklæringen legges ved for de som har spesiell interesse.

Opplevelsen av personvernerklæringene som har fylt innboksen, eller fylt halve skjermen på favorittnettstedet, er noe ganske annet. Det er særlig formålsbeskrivelsene som snubler og man sitter igjen med en følelse at det er bruksområder som er fordekte, litt som når man er i skuddlinjen for gravende journalisters spørsmål. Forbrukerrådet gjorde et stunt for noen år siden hvor de leste opp brukervilkår og personvernerklæringer på de mest populære APPene. Kanskje på tide med et nytt? Hva med noen gode eksempler på personvernerklæringer og med fokus på norske virksomheter, det gjør det jo enklere for oss å kunne sammenligne med de dårlige og eksponere disse.

Et viktig punkt i informasjonsplikten er retten til å klage. Dette skal opplyses til alle registrerte. Men, det er allerede nå lett å forutsi at klagestormen vil utebli. Når de fleste av oss ikke har satt oss inn i regelverket vet vi jo heller ikke når reglene blir brutt. Forbrukerråd og -tilsyn vil nok forfølge de større virksomhetene på våre vegne, men ellers tror jeg de fleste klager til Datatilsynet vil komme fra ansatte i konflikt med arbeidsgiver eller fra forsmådde kunder/konkurrenter.

GDPR er ukjent terreng for det fleste og mange har spørsmål om praktisk håndtering. I fagmiljøene kan det virke som det kappes om å finne komplekse særtilfeller hvor nyanser kan diskuteres og timer faktureres. Dette er nødvendige diskusjoner for det er i randsonene prinsippene blir testet, men kan lett virke forvirrende for oss andre. For personvernet som helhet, er det viktigere med den daglige praktiske håndtering av våre opplysninger.

Om alle starter med å informere om hva de gjør og kun gjør det de informerer om, har vi allerede kommet langt.

Christian Butenschøn er grunnlegger av ICONFIRM. Han er hverken IT utvikler eller jurist, men har praktisk sans og sunt bondevett. Fra 2013 ledet han oppbyggingen av Nordens ledende samhandlingsplattform innen privat helse som idag har ca 25 forsikringsselskap og 900 klinikker som brukere. Med utgangspunkt i denne teknologien ble ICONFIRM satt opp i slutten av 2016. Plattformen er en praktisk og brukervennlig løsning som setter individet i sentrum i en organisasjons etterlevelse av GDPR.