Med nye regler for innhenting, bruk, lagring og sletting av personopplysninger, bør en rekke bedrifter ifølge Datatilsynet gjennomgå rutinene sine. De vanligste feilene skyldes ofte mangel på kunnskap og ressurser.
En gjennomgang av rutiner kan spare mange bedrifter både tid og penger. Våre kontroller tyder på at det er mange som gjør feil når de behandler personopplysninger. Det kan bli kostbart fremover, sier senior kommunikasjonsrådgiver i Datatilsynet, Trude Talberg-Furulund.
Sammen med blant annet Datatilsynet leverte NorSIS i år et opplæringsprogram i forbindelse med sikkerhetsmåneden for å bedre den digitale sikkerheten i Bedrifts-Norge. Dette årlige programmet er gratis for alle virksomheter med inntil 20 ansatte, og gir verktøy som kan redusere risikoen for å bli hacket, svindlet eller utsatt for andre typer cyberkriminalitet.
Vi ser at spesielt små og mellomstore virksomheter har bruk for noe enkelt og håndfast å forholde seg til. Med dette opplæringsprogrammet får bedrifter noen enkle verktøy for å starte arbeidet med å sikre at de etterlever det nye lovverket, sier Datatilsynets seniorrådgiver.
Kan risikere bøter ved brudd
Med den nye EU-forordningen kan virksomheter som ikke oppfyller de nye kravene risikere bøter på opptil fire prosent av virksomhetens globale omsetning. Datatilsynet er opptatt av å betone den forretningsmessige fordelen en virksomhet kan ha ved å være best i klassen.
God og gjennomsiktig håndtering av personopplysninger kan på den måten bli en konkurransefordel. Motsatt kan dårlig håndtering føre til at informasjon om kunder og ansatte kommer på avveier. Det vil ganske sikkert ikke ha noen positiv kundeeffekt, sier Talberg-Furulund.
Les også: her finner du veiledning om de nye personvernreglene på nettvett.no
Her er fem av de vanligste personvernfeilene i norske virksomheter
1. De er usikre på hva som er personopplysninger
En personopplysning er en opplysning eller vurdering som kan knyttes til en enkeltperson. Det kan være alt fra navn, fødselsnummer og hvilke butikker man handler i, til sensitive opplysninger som politisk ståsted og seksuell legning. Husk også at opplysninger som i seg selv ikke identifiserer noen, kan være identifiserende når de sammenstilles med andre opplysninger.
2. De mangler oversikt og vet ikke hva de har av personopplysninger
Enhver virksomhet må etter regelverket ha oversikt over hvilke opplysninger de har om kunder, brukere og ansatte. Uten å ha oversikt over hva og hvilke personopplysninger som samles inn, hvordan opplysningene brukes og lagres og rutiner for sletting, vil det være så godt som umulig å vite om dere faktisk følger personopplysningsregelverket. Dersom dere ikke vet hva dere har av opplysninger, kan dere heller ikke vite om dere har lov til å ha dem. Uten oversikt er det heller ikke mulig å gjøre en vurdering av personvernkonsekvenser, som er pliktig for visse typer behandlinger. Regelen om å ha oversikt over personopplysninger gjelder både dagens lovverk og de nye reglene som trer i kraft i mai neste år.
3. De tror de nye GDPR-reglene ikke gjelder deres virksomhet
Alle virksomheter som behandler personopplysninger, må følge det nye regelverket. Husk at reglene gjelder alle virksomheter som har ansatte, samt at det ikke er en forutsetning at dere har innhentet navn, fødselsnummer eller andre direkte identifiserende opplysninger. Regelverket gjelder selv om opplysningene bare er indirekte identifiserende. Alle virksomheter har plikt til å sette seg inn i og følge det nye regelverket, som blir gjeldende fra neste år.
4. De gir ingen eller for dårlig informasjon om innsamling, bruk, lagring og sletting av personopplysninger
Det blir et krav at kunder, brukere og ansatte skal få god informasjon om hvordan personopplysningene deres håndteres. Reglene stiller krav til form, språk og innhold. Informasjonen skal blant annet være lett å finne og enkel å forstå for målgruppen. Dette kravet er satt særlig med tanke på barn. Har dere et produkt eller en tjeneste som er rettet mot barn og samler inn personopplysninger, skal informasjonen om hva, hvordan og hvorfor dette gjøres presenteres på en måte som barna forstår.
5. Mange forstår ikke hva et samtykke innebærer, og flere mangler gode nok rutiner for innhenting av samtykke
Etter de nye reglene må virksomheten kunne vise til at de faktisk har innhentet samtykke. Dersom dere skal innhente samtykke for flere formål, må det samtykkes spesifikt for hvert av formålene. De registrerte skal også kunne trekke tilbake samtykket like lett som de gir det. Et samtykke må ha et klart formål, og opplysningene kan i utgangspunktet kun brukes til dette formålet. Det er for eksempel ikke lov å samle inn en e-postadresse for å sende ut nyhetsbrev, og så utlevere den til tredjepart dersom dette ikke er avtalt. En viktig presisering i det nye regelverket er at et samtykke ikke er gyldig dersom man ved kjøp av en tjeneste må akseptere at det samles inn mer personopplysninger enn det som er nødvendig for levering av tjenesten.
Les også: her finner du veiledning om de nye personvernreglene på nettvett.no
Gjesteartikkelen er skrevet av Datatilsynet, representert ved Senior kommunikasjonsrådgiver Trude Talberg-Furulund.
Les mer om Datatilsynet.