• GDPR
Blogg:

100 dager igjen: Slik bør du jobbe med GDPR-innspurten

06. april 2018

Henrik Dagestad , Partner, BDO Advokater |

BDO-advokat og personvernekspert mener mange virksomheter bruker tiden feil.

15. februar er det 100 dager igjen til den mye omtalte personvernforordningen trer i kraft. EU-forordningen, som gjerne går under navnet GDPR, blir norsk lov 25. mai, og dette medfører skjerpelser i hvordan norske virksomheter kan behandle personopplysninger. Brudd på GDPR kan i verste fall bety både milliongebyr og svekket omdømme.

Se også: Hva blir nytt med forordningen?

Grundigere risikovurdering

– Jeg tror mange virksomheter gjør det betydelig vanskeligere for seg selv enn strengt tatt nødvendig. Flere ville nok hatt mye større nytte av å bruke tid på en grundigere risikovurdering enn for eksempel å innhente samtykke når de kunne benyttet et annet rettslig grunnlag, sier advokat og personvernekspert Henrik Dagestad i BDO.

Personverneksperten mener du som leder bør fokusere GDPR-arbeidet på følgende måte de nærmeste 100 dagene:

1. Skaff deg oversikt over hva som faktisk klassifiseres som personopplysninger, og kartlegg hva dere reelt sett behandler av personopplysninger i virksomheten.
2. Finn ut hvilken rett dere har til å behandle personopplysningene. Ikke fokuser utelukkende på samtykke, men vurder også andre rettslige grunnlag virksomheten kan ha til å behandle personopplysninger.
3. Gjennomfør en risikovurdering. Vurder verst tenkelige tilfeller, og ta en ærlig gjennomgang av hvilke mulige konsekvenser det kan få for personvernet til den enkelte hvis personopplysningene kommer på avveie, plutselig ikke er tilgjengelige eller ikke er oppdaterte.
4. Ta en vårrengjøring. Lag gode rutiner, og kvitt deg med alle data som inneholder personopplysninger du ikke kan eller bør lagre.

Se også: Slik starter du GDPR-tilpasningen nå

Bruker uforholdsmessig mye tid på samtykke

For at virksomheter skal kunne behandle personopplysninger lovlig, må det foreligge et rettslig grunnlag. Samtykke er et av flere mulige rettslige grunnlag, men mange virksomheter synes å ha en oppfatning om at de fra og med 25. mai er nødt til å innhente samtykkeerklæringer for å kunne behandle personopplysninger.

– Jeg opplever at overraskende mange virksomheter bruker uforholdsmessig mye tid på å få på plass samtykkeerklæringer. Jeg vil nesten kalle det et hysteri som ikke bare er unødvendig tidkrevende, men også går på bekostning av andre viktige deler av implementeringsarbeidet, sier Dagestad.

Kort forklart er en samtykkeerklæring en bekreftelse fra den personen en organisasjon oppbevarer opplysninger om at personen godtar at virksomheten behandler personopplysninger om vedkommende.

Fokus på rettslig grunnlag kan spare tid

Dagestad har over lengre tid jobbet med virksomheter over hele landet som ønsker å ha mest mulig klart innen GDPR trer i kraft før sommeren. Han påpeker at man på flere områder ikke kommer til å trenge samtykke, men kan bruke andre rettslige grunnlag som gir rett til å behandle personopplysningene.

Eksempler på andre rettslige grunnlag kan være at det er nødvendig for å oppfylle en avtale eller at virksomheten har en berettiget interesse. Behandling av personopplysninger i forbindelse med direkte markedsføring kan anses for å være en slik berettiget interesse. Her er det imidlertid viktig å være klar over at direkte markedsføring også reguleres av markedsføringslovens bestemmelser.

Utsetter kunder og brukere for risiko

En viktig del av implementeringsarbeidet er å vurdere risikoen for at personopplysninger kan komme på avveie og risikoen knyttet til om opplysningene ikke er tilgjengelige eller ikke korrekte. Gjennom en slik risikovurdering vil det fort kunne bli synlig at selv «uskyldige» opplysninger på avveie kan få store konsekvenser.

– Jeg er faktisk litt overrasket over hvor lite bevissthet det er rundt hva informasjon på avveie kan føre til. Det kan virke som om mange ikke skjønner hvor lett opplysninger kan misbrukes hvis de havner på feil hender. En slik manglende bevissthet kan ikke bare påføre kunder og brukere skade, men kan også bli alvorlig sanksjonert etter den nye forordningen, sier Dagestad.

Lite kunnskap om hva personopplysninger er

Personverneksperten opplever også at det er relativt lite kunnskap om hva som faktisk regnes som personopplysninger. Ifølge Dagestad ser noen ut til å tro at det kun dreier seg om de «klassiske» personopplysningene, for eksempel opplysninger om helseforhold, mens det i realiteten omfatter alle opplysninger som kan knyttes til en enkeltperson. Dette medfører at for eksempel opplysninger om en IP-adresse eller chassisnummeret på en bil er å regne som personopplysninger.

Les også: Derfor må hele ledergruppen involveres i de nye personvernreglene

GDPR på Risikokonferansen 2018

GDPR vil i mars stå på programmet til BDOs årlige Risikokonferanse. Hovedtema for årets konferanse er digitalisering og risikostyring, og fagansvarlig for personvern i BDO, Arnt Olav Aardal, vil under konferansen fortelle om GDPR i et risikoperspektiv.

Se program og meld deg på Risikokonferansen 2018