Våre rettigheter er sentralt i GDPR og mye er skrevet om retten til innsyn, retten til å bli glemt og retten til dataportabilitet. En annen rettighet vi har fått merke er retten til å bli informert, men her er jeg usikker på hvor vellykket det har vært. Vi blir alle pepret med personvernerklæringer. Men, blir vi bedre informert om bruken av vår data?

Det stilles noen tydelige krav i GDPR om hvordan vi skal informeres. Dette kan det virke som mange ikke har fått med seg. Jeg kan derfor ikke la være å undre meg over følgende: Hvis bedriftene er så opptatt av vårt personvern som de sier, hvorfor følger de ikke selv kravene om at informasjonen om behandlingen skal være kortfattet, åpen, lett tilgjengelig og på et klart og enkelt språk (artikkel 12).

Hvis bedriftene er så opptatt av vårt personvern som de sier, hvorfor følger de ikke selv kravene om at informasjonen om behandlingen skal være kortfattet, åpen, lett tilgjengelig og på et klart og enkelt språk (artikkel 12).

Prinsippet om åpenhet og tydelig informasjon er et viktig element i innføringen og etterlevelsen av GDPR. Med tydelig informasjon om hva våre data blir benyttet til, og hvilke rettigheter vi har er tanken at vi som individer vil forfølge våre rettigheter, især om vi oppdager at våre data blir misbrukt. Ut fra hva som er varslet vil nettopp informasjonsplikten være noe av hva tilsynsmyndighetene vil følge opp fremover.

Men, skal dette skje må det slås ned på at mange av personvernerklæringene ikke er presise nok. Hva er de spesifikke formålene med innsamlingen av data? Om juridisk grunnlag er berettiget interesse (som mange benytter fremfor samtykke), hvorfor blir vi ikke tydelig informert om hva den berettigede interessen er, eller vår rett til å protestere, som det stilles krav om? Hvem deles det egentlig data med? Vet man om det er ett eller annet komponent i en løsning som gjør at data sendes ut av EU? Dette er informasjon de fleste av oss ikke blir gitt på en god og tydelig måte.

New York Times hadde nylig en veldig interessant artikkel om sporing via smarttelefoner, «Your Apps Know Where You Were Last Night, and They’re Not Keeping It Secret». Apper med tilgang til lokasjon samler detaljerte opplysninger og disse deles med andre. Dette er i kjernen av GDPR. Selv anonymiserte data blir fort personopplysninger igjen når bevegelsesmønsteret trekkes opp. Med veldig presis lokasjonsdata er det jo raskt å koble individer ut fra husstand, arbeidssted osv. Som artikkelen i NYT viser kunne de f eks følge en telefon fra et hjem, til en fertilitetsklinikk og tilbake igjen. Dette er utvilsomt invaderende og dette hadde ikke brukerne av APPene fått god informasjon om.

Lange personvernerklæringer på nett er altså ikke løsningen. Derimot er korte spesifikke tekster, gjerne med bruk av ICONER bra. Tekstene skal være spesifikke for de formålene som dataene blir benyttet til. Det betyr at personvernerklæringen som er relevant for en nettside IKKE kan være den samme som for en ansatt eller en kunde. Dette er egentlig ganske innlysende for data som samles inn og formålene er jo helt forskjellig.

Hva sier andre

Eva Jarbekk presenterte på Computer World sitt CIO forum den 12 desember en god oversikt over hvilke dokumenter virksomheter må ha kontroll på. Som det vises i oversikten er det blant annet behov for forskjellige personvernerklæringer for de forskjellige kategorier av registrerte.

Også innen HR er dette viktig og ansatte trenger å bli tydelig informert. Alle organisasjoner har mye informasjon om sine ansatte og feil behandling av personopplysningene er en stor eksponering. Databehandlingen for ansatte er helt forskjellig fra kunder og da er det er tydelig behov for en presis og formålsspesifikk personvernerklæring. Dette er også omtalt av Hans Gjermund Gauslaa som er juridisk HR and ledelsesrådgiver hos infotjenester i hans blogg «alle arbeidsgivere må ha personvernerklæring».

Datatilsynet i Danmark kom også nylig ut med en veileder for personvern i forbindelse med ansettelsesforhold. I punkt 4.1 Opplysningsplikt, er de veldig tydelige på at i) behandlingsansvarlig skal kunne dokumentere at søker, eller ansatt har blitt informert, ii) at arbeidsgiver skal ha tatt aktive skritt for å gi informasjonen og iii) at det ikke er tilstrekkelig at informasjonen ligger på hjemmeside, intranett eller lignende for den enkelte å finne.

Hvordan skal man håndtere dette i praksis?

Mange virksomheter sliter bare med å finne tid og ressurser til å sette seg inn i GDPR. Hvordan skal man da vite hvor man skal begynne?

GDPR er et kontinuerlig arbeide. Det betyr også at alt ikke må gjøres på en gang. ICONFIRM er et godt verktøy som kan hjelpe til å strukturere dette arbeidet og som samtidig bidra til at dokumentasjon, informasjon og forvaltning over tid er i tråd med regelverket.

Christian Butenschøn er grunnlegger av ICONFIRM. Han er hverken IT utvikler eller jurist, men har praktisk sans og sunt bondevett. Fra 2013 ledet han oppbyggingen av Nordens ledende samhandlingsplattform innen privat helse som idag har ca 25 forsikringsselskap og 900 klinikker som brukere. Med utgangspunkt i denne teknologien ble ICONFIRM satt opp i slutten av 2016. Plattformen er en praktisk og brukervennlig løsning som setter individet i sentrum i en organisasjons etterlevelse av GDPR.