Historien om en varslet panikk

- Alle virksomheter som behandler personopplysninger, selv om det så bare gjelder egne ansatte, omfattes av regelverket. Ikke vent til beskyttelsesverdig informasjon havner på avveie eller til Datatilsynet vier deg interesse, før du tar tak i dette. En proaktiv innstilling til temaet er nøkkelen til etterlevelse. En advokat eller konsulent kan bare hjelpe deg et stykke på veien - personvern må gjøres til en integrert del i din virksomhets hverdag, sier advokat Katrine Malmer-Høvik i SANDS.
EU innfører for tiden den nye Personvernforordningen GDPR. Den styrker borgernes makt over egne personopplysninger, og følges opp av sterke sanksjonsmuligheter mot enhver virksomhet som ikke innhenter, oppbevarer eller benytter persondata uten tilstrekkelig samtykke eller dokumentasjon.

- Kombinasjonen av teknologisk utvikling med potensielt store personvernrisikoer og et nytt rettslig rammeverk som har fått unormalt mye oppmerksomhet, har gjort at interessen og fokuset på personvern er ekstremt stor. Dette gjelder ikke bare pågående mer prinsipielle diskusjoner som digitalt grenseforsvar, men også norske virksomheter som behandler personopplysninger på en måte som i liten grad preges av prinsipielle politiske standpunkter, sier Malmer-Høvik i SANDS.

Personvern er et satsningsområde i SANDS, der Malmer-Høvik er del av et team som foreløpig teller 6 personverneksperter, flere med lang erfaring fra innsiden av datasensitive bransjer som forsikring og inkasso. Malmer-Høvik forklarer fra SANDS’ hovedkontor i Vika de nye utfordringene norske og europeiske virksomheter nå må demonstrere at de tar på alvor:

-Den raske teknologiske utviklingen gjør at det samles inn og analyseres stadig mer personopplysninger, og vi forbrukere legger gjerne igjen våre opplysninger for å få tilgang til attraktive tjenester. Automatisering, digitalisering, kunstig intelligens, og alle de andre buzz-ordene som sirkulerer for tiden – personopplysninger og personvern er i kjernen i utviklingen, sier Malmer-Høvik.

Ikke fritt frem for personlige data

Det kan være vanskelig selv for de som tar i bruk profileringsverktøy eller verktøy knyttet til automatiserte beslutninger, å forklare hvordan verktøyene fungerer, og kompleksiteten ville neppe avta. Har du problemer med å forklare en kunde hva som skjer med dataene eller hvordan man har kommet til en konklusjon eller et resultat, har du en utfordring også rettslig. Personvernforordningen stiller i enda større grad enn dagens regelverk krav til å kunne forklare hvordan for eksempel en algoritme fungerer.

-Det ligger enorme muligheter i kommersiell utnyttelse av personopplysninger. Samtidig har vi i Europa en tradisjon for at personopplysninger tilhører borgeren selv, og borgerne skal ha kontroll over sine opplysninger. Dette betyr at det ikke er fritt frem å bruke dataene, selv om den kommersielle oppsiden vil kunne være helt åpenbar sier Malmer-Høvik.

Personvernforordningen gjør det viktig for bedrifter og organisasjoner å demonstrere at de forholder seg til og etterlever lovgivningen på dette feltet.

Interessen for personvern er stor, men advokatene i SANDS tipper at interessen vil nå et høydepunkt når den første boten skrives ut her hjemme. Likevel understreker SANDS at etterlevelse av personvernregelverket ikke er en engangsoppgave eller et prosjekt man kan eller bør outsource. SANDS’ oppfatning er at etterlevelse krever interne ressurser for å bli vellykket og ikke minst kreves god oppfølgning i hverdagen. De som tror personvern kan løses gjennom nok en perm som støver ned, vil bli skuffet.

Den uforlignelige verdien av et godt omdømme

SANDS er et av landets største advokatfirmaer. Ikke minst er det ledende innen teknologi og innovasjon, der mange av tidens mest spennende problemstillinger vedrørende personvern oppstår.

Regler for behandling av personopplysninger er ingen nyvinning, og etter SANDS oppfatning blir det feil å kalle Personvernforordningen en revolusjon. Det er ikke slik at behandling av personopplysninger tidligere har vært helt uregulert – snarere tvert i mot så har man i Norge i dag et regelverk som i stor grad bygger på de samme grunnleggende prinsippene som det nye regelverket. Det er riset bak speilet som personvernforordningen introduserer som gjør at personvern endelig er blitt et hett samtaletema på norske møterom. Samtidig kan man peke på for eksempel økt geografisk virkeområde som en annen interessant faktor for virksomheter som ikke er etablert i EU. Det er ikke til å legge skjul på at frykt for økonomiske sanksjoner fra tilsynet er en drivkraft for mange virksomheter. Potensielt omdømmetap bør imidlertid være en vel så stor motivasjonsfaktor, påpeker Malmer-Høvik.

-Oppslag om at du ikke har kontroll på dataene vil kunne gjøre større skade på omdømmet ditt enn en bot fra Datatilsynet, sier Malmer-Høvik

Hun mener dette henger sammen med at de fleste endelig er blitt mer bevisste på hvordan personopplysningene om dem brukes.

-Plutselig krever folk at persondataen deres ivaretas skikkelig. De merker at annonser følger dem rundt på nettet og at det foregår en eller annen form for analyse av dataene og preferansene deres, sier Malmer-Høvik.

I Trump-æraen har dessuten avsløringer om rettede politiske budskap i sosiale medier skapt bevissthet om at det ikke bare er kommersielle interesser som skreddersyr personlige budskap.

-Det er gått opp for de fleste at de elektroniske sporene ikke blir borte helt uten videre.

Historien om en varslet panikk

Til tross for at det regulatoriske kommer for full damp, er norske virksomheter nokså uforberedt.

- Hos mange har regelverket i det store og hele vært ignorert, og grunnen til dette er sikkert flere. Manglende kunnskap er antakelig hovedårsaken i mange tilfeller. Lav oppdagelsesrisiko og relativt små økonomiske konsekvenser er sikkert også en faktor i enkelte sammenhenger, sier Malmer-Høvik.

Hun synes overraskende mange virksomheter ikke har kontroll.

-Personvern er et omfattende arbeid som bør begynne nå med en erkjennelse i styrerommene av at å følge regelverket vil kreve interne ressurser. Og enten det gjelder HR, Økonomi eller IT, så er det mange i virksomheten som må sitte rundt det møtebordet og bidra for å sørge for at man forholder seg til kravene.

Så begynner kartleggingen av hva som må gjøres, men kanskje aller først: hva har vi? Hva slags data sitter vi på? Hvor er dataene? Hvor kommer de fra? Hvem gir vi de til? Og kanskje det mest interessante spørsmålet: hvorfor har vi disse dataene? Det må lages og opprettholdes rutiner. SANDS personverngruppe bistår som juridisk veileder i en kartleggingssituasjon, og tilbyr arbeidsdokumenter som kan benyttes.

Advokatene i SANDS legger ikke skjul på at etterlevelse i virksomheter som ikke har hatt fokus på personvern tidligere er en potensielt langt større oppgave enn for de som allerede har orden i sysakene.

- Mange trenger hjelp til å stille de riktige spørsmålene tidlig så de kan jobbe målrettet fremover. For eksempel sletting av persondata: Hvis du ikke vet hva slags persondata du har og knapt nok hvor de befinner seg, er det vanskelig å for eksempel skape en god sletterutine, sier Malmer-Høvik.

Etter at behandlingsgrunnlaget er på plass, gir SANDS skreddersydde anbefalinger om hvor det for eksempel trengs samtykke eller databehandleravtaler, og bistår med å kartlegge hvilke krav som er aktuelle for virksomheten, samt hvordan kravene kan oppfylles. De utformer samtykketekster og avtaletekster, bistår i forhandlinger med leverandører, og bistår når virksomheten oppretter rutiner for for eksempel sletting eller cookie-policy.