GDPR-test: Hvor god kontroll har du på personvern?

BEHANDLINGSPROTOKOLL: Uten en fullstendig protokoll er det umulig å vise at dere følger GDPR, og det blir også vanskelig å vurdere hvilke behandlinger som krever en personvernkonsekvensvurdering (DPIA). Start med å kartlegge prosessene deres. Tenk gjennom i hvilke situasjoner dere behandler personopplysninger. Vanlige områder er for eksempel personalforvaltning, kundehåndtering og salg, markedsføring eller økonomi. Dokumenter deretter de obligatoriske opplysningene etter artikkel 30, det vil si navn på behandlingen, formål, kategorier av registrerte, kategorier av personopplysninger, mulige mottakere, behandlingsgrunnlag, lagringsperiode og sikkerhetstiltak.

KONSEKVENSVURDERING: Hvis dere innfører nye systemer eller prosesser uten å vurdere risikoen, kan det i etterkant føre til kostbare sanksjoner og erstatningskrav. Dere må først gjøre en terskelvurdering for å avgjøre når en fullstendig DPIA er nødvendig. En konsekvensvurdering har deretter tre sentrale komponenter. Den første er risikovurdering. Her ser man på risikoene for de registrertes rettigheter og friheter. Kjernen i vurderingen er å identifisere mulige trusler mot den enkeltes personvern, for eksempel risiko for uautorisert tilgang, tap av data eller at data brukes på en måte den enkelte ikke kan forutse. Den andre komponenten er konsekvensanalyse. Hvilke konsekvenser kan de nevnte risikoene få for de registrertes rettigheter og friheter? Dette handler om å forstå hvor alvorlig det vil være for de berørte personene dersom en hendelse skulle oppstå. Den tredje og siste komponenten er risikoredusering. Her identifiserer man hvilke tiltak som må settes inn for å redusere disse risikoene og konsekvensene. Dette kan være tekniske tiltak som kryptering eller organisatoriske tiltak som strengere tilgangskontroll.

DEN REGISTRERTES RETTIGHETER: Manuelle prosesser er sårbare for personavhengighet og menneskelige feil. Lag en standardisert sjekkliste eller rutine for hvordan dere raskt henter ut, retter eller sletter data på forespørsel, og sørg for at alt relevant personell kjenner til rutinen og den lovpålagte fristen, slik at oppgaven kan prioriteres når den oppstår. Ta alltid utgangspunkt i behandlingsprotokollen når dere håndterer de registrertes rettigheter.

OPPLÆRING AV ANSATTE: Teknologi hjelper lite hvis de ansatte ikke vet hva en personopplysning er. I praksis er medarbeiderne enten deres viktigste forsvarslinje eller deres største svakhet. Den menneskelige faktoren ligger bak majoriteten av personvernbruddene som rapporteres til Datatilsynet. En opplært medarbeider har de «digitale vernebrillene» på og stopper feil før de skjer. Dersom en hendelse først oppstår, har dere etter GDPR bare 72 timer på dere til å varsle Datatilsynet ved behov. Hvis de ansatte ikke vet hva et personvernbrudd er, eller dere ikke har kjente og etablerte rutiner for å håndtere slike hendelser, risikerer dere kostbare sanksjoner og erstatningskrav. Å kunne dokumentere gjennomført opplæring er dessuten et tungt bevis på at dere har gjort det som kreves etter ansvarlighetsprinsippet, og kan bidra til å redusere risikoen for sanksjoner eller andre administrative reaksjoner.

LEVERANDØRAVTALER: Uten avtaler har dere ingen kontroll over hva leverandøren gjør med dataene. En korrekt avtale sikrer at leverandøren bare gjør det dere har instruert om, ikke bruker dataene til egne formål, har tilstrekkelig sikkerhet for å beskytte opplysningene og varsler dere dersom de blir rammet av for eksempel et datainnbrudd. Hvis Datatilsynet fører tilsyn, eller det oppstår en lekkasje og dere mangler avtaler, blir dette sett på som en alvorlig strukturell svakhet. Det tolkes som at dere ikke har kontroll over egen virksomhet. Det er da de store sanksjonene kan bli aktuelle, fordi dere bevisst eller grovt uaktsomt har håndtert personopplysninger uten å regulere sikkerheten. Start med å avklare hvilket forhold dere har til leverandøren. Er det et databehandlerforhold, et felles behandlingsansvar eller et selvstendig behandlingsansvar med deling av data? Opprett deretter riktige avtaler som regulerer forholdet mellom partene, passende vern av personopplysningene, hvem som har ansvar for de registrertes rettigheter og eventuelle tredjelandsoverføringer.

PERSONVERNBRUDD: Når det for eksempel skjer et datainnbrudd eller en ukryptert datamaskin går tapt, begynner klokken å tikke. Uten en kjent og velfungerende rutine for håndtering av personvernbrudd blir resultatet ofte at man enten skjuler hendelsen, overrapporterer eller oversitter fristen på 72 timer. En god rutine for håndtering av personvernbrudd bør inneholde en definisjon av hva et personvernbrudd er, for eksempel mistet USB-minne, e-post sendt til feil mottaker eller mistanke om innbrudd som phishing. Den bør også inneholde kontaktinformasjon til personen eller rollen som skal varsles ved en hendelse, en enkel dokumentasjonsmal som fanger opp det viktigste i saken, som hva som har skjedd, når det ble oppdaget, hvilke typer opplysninger det gjelder og hvor mange personer som kan være berørt, samt en rutine for vurdering av om hendelsen skal meldes til Datatilsynet eller bare dokumenteres internt. Det viktigste av alt er at denne rutinen kommuniseres internt, slik at alle relevante medarbeidere kjenner til hvordan den fungerer.

SLETTING OG LAGRINGSBEGRENSING: Data som bare er «greit å ha», er en juridisk belastning. Fastsett tydelige slettefrister for hver kategori av opplysninger, for eksempel to år etter avsluttet kundeforhold, og gjør sletting til en naturlig del av årshjulet. Ta utgangspunkt i behandlingen i behandlingsprotokollen og dokumenter deretter en passende lagrings- og slettefrist for den aktuelle behandlingen. Oppmuntre også ansatte til å rydde i egne e-postbokser og filer, både digitale og fysiske.

INNEBYGD PERSONVERN: Å legge til personvern i etterkant er som å prøve å montere setebelter i en bil som allerede har krasjet. Det blir både dyrere og dårligere. GDPR er ikke en etterkontroll, men må være en del av virksomhetens DNA. Gjør det til en regel at ingen ny programvare kjøpes inn og ingen nye prosjekter startes uten at en kort personvernanalyse er gjort først. Spør dere selv: Hvilke data skal behandles? Hvem har tilgang? Hvor lagres de? Hvordan kan vi begrense tilganger? Trengs det en databehandleravtale? Ved å bygge inn personvern fra starten av oppdager dere risikoer før de blir dyre problemer eller krever ombygging av systemer. Innebygd personvern handler om å gjøre det riktige valget til det enkleste valget for organisasjonen.

BEHANDLINGSGRUNNLAG: Å etablere og dokumentere et behandlingsgrunnlag er selve fundamentet i GDPR. Uten et gyldig behandlingsgrunnlag er behandlingen av personopplysninger juridisk ulovlig fra start. Behandlingsgrunnlaget er deres «tillatelse» til i det hele tatt å behandle personopplysninger. Dere må kunne informere de registrerte om hvorfor opplysningene behandles, og at dere har rett til å behandle dem. Ulike behandlingsgrunnlag innebærer ulike rettigheter for de registrerte. Hvis dere for eksempel bruker samtykke, har personen rett til dataportabilitet og til å trekke samtykket tilbake. Hvis dere bruker interesseavveining, har personen rett til å protestere mot behandlingen. Hvis Datatilsynet fører tilsyn og oppdager at dere mangler behandlingsgrunnlag, eller har valgt feil grunnlag, kan konsekvensene bli kostbare sanksjoner, forbud mot å behandle data eller andre administrative reaksjoner.

SIKKERHETSTILTAK: Å gjennomføre tekniske og organisatoriske sikkerhetstiltak etter artikkel 32 i GDPR handler om å bygge et lag med beskyttelse rundt dataene dere behandler. Det holder ikke å ha juridikken på plass på papiret hvis «bakdøren» til serveren står åpen, eller ansatte forlater datamaskinene sine ulåst. GDPR krever at sikkerhetsnivået er passende i forhold til risikoen. Hvis en hendelse oppstår og dere kan vise at dere hadde sterke sikkerhetstiltak på plass, vil Datatilsynets vurdering ofte være mildere enn hvis dere har opptrådt uaktsomt. En sikkerhetshendelse, som for eksempel et ransomware-angrep, kan stoppe hele virksomheten. Gode sikkerhetstiltak beskytter ikke bare personopplysninger, men også forretningshemmeligheter og driften deres. Vanlige tekniske sikkerhetstiltak er blant annet multifaktorautentisering, kryptering og tilgangsstyring. Vanlige organisatoriske sikkerhetstiltak er blant annet opplæring av ansatte og ledere, etablerte rutiner for hendelseshåndtering og korrekte avtaler, som databehandleravtaler.

TREDJELANDSOVERFØRINGER: Å ha kontroll på overføringer av personopplysninger utenfor EU/EØS, altså tredjelandsoverføringer, er en av de mest komplekse problemstillingene innen GDPR i dag. Grunnen er enkel: Når personopplysninger forlater EUs grenser, forsvinner også det direkte vernet som europeisk lovgivning gir den enkelte, og opplysningene blir underlagt mottakerlandets regler, som ikke alltid gir samme beskyttelsesnivå som GDPR krever. Det er nok at en ansatt åpner laptopen sin i et tredjeland og dermed får tilgang til organisasjonens personopplysninger, for at det skal regnes som en tredjelandsoverføring. For å unngå kostbare sanksjoner, erstatningskrav og andre administrative reaksjoner, bør dere starte med å kartlegge tredjelandsoverføringene deres, bruke riktig overføringsmekanisme, som EUs standard personvernbestemmelser eller bindende virksomhetsregler, gjennomføre en vurdering av overføringen, en såkalt Transfer Impact Assessment (TIA), og dokumentere overføringen og sikkerhetstiltakene i behandlingsprotokollen.