Mye jobb med nye personvernregler

- Det finnes nå enorme mengder data om oss. Vi er konstant innlogget på Facebook, vi snapper, sveiper, liker og så videre. Disse dataene blir brukt til noe, i motsetning til for ikke altfor mange år siden, påpekte Bjørn Erik Thon fra scenen på Kulturhuset i Oslo.

- Tydeligst ser vi det på personifisert reklame. Men dataene brukes også til å personifisere andre tjenester. Politiske budskap skreddersys, det gjør også mediene. Fremover vil flere avgjørelser treffes uten at mennesker er involvert, ved hjelp av algoritmer og kunstig intelligens, sa Thon og trakk frem eksempler som lån og forsikring.

Derfor er det først og fremst bra med et nytt regelverk som sier at alle kan få oversikt over hvilke data virksomheter har om oss, og hva de bruker dem til, mener Thon.

Må tenke personvern fra start

Hvilke krav stiller så dette til kommunikatører?

- Det aller viktigste er at databehandlere må ha oversikt over alle databehandlinger de gjør. Virksomheter skal utrede konsekvensen for personvernet av alt man gjør, utgjør det en risiko, skal det forhåndsdrøftes med Datatilsynet. Man må tenke personvern helt fra starten av, og i teknologien må det bygges inn løsninger for innsyn, automatisk sletting, dataportabilitet og så videre, påpekte Thon.

Reglene vil også få direkte konsekvenser for kommunikasjonen med og informasjonen til brukerne. Tiden er over da man kunne skrive at man samler opplysninger ”for å gi en bedre brukeropplevelse” .

- Det blir et krav om gjennomsiktighet, og det handler 99 prosent om kommunikasjon. All informasjon skal være tydelig, lettfattelig og tilgjengelig. Ved behov også visualisert med merkeordninger eller symboler, forklarer Thon. 

Det stilles dessuten nye krav til samtykkeerklæringer, som i dag ofte er så lange at ingen har tid til å lese dem. Erklæringene skal være lett tilgjengelig i et klart og enkelt språk. 

Trenger nye systemer og rutiner

- Mange tenker at dette blir voldsomt mye arbeid, og ja, det blir det, tilføyer advokat Jenny Sveen Hovda i Bull & co, som satt i panelet på dagens frokostseminar.

Tilhørerne ville vite om de fortsatt kan publisere medlemslister, om de kan bruke presselister uten samtykke fra journalistene, om årsmeldinger kan ligge på nett – og så videre. Det er imidlertid få fasitsvar.

- Overordnet avhenger alt dette av avtalen som ble inngått - om de involverte er opplyst, sa Hovda.

Hun anbefaler å starte med å skaffe oversikt over i hvilke sammenhenger virksomheten behandler persondata, hvilke data de innehar, grunnlaget for opplysningene, samt hvilke former for kommunikasjon de brukes til. Deretter må man tenke over hvordan samtykke innhentes:

- Allerede i dag trenger man samtykke til markedsføring på e-post, sms og så videre. Det nye er at det skal gis ett samtykke per formål, påpeker Hovda.

I tillegg må virksomheter ha systemstøtte for å levere ut persondataene. Forbrukerne får rett til å få dataene utlevert i et brukbart format, for å for eksempel ta dem med seg til et nytt selskap.

- Alle som er her i dag trenger å gjøre masse arbeid på systemene sine - enten endre dem eller bytte dem ut, sa Torgeir Waterhouse, direktør for internett og nye medier i IKT Norge – panelets tredje deltager.

Venter med store bøter

- Jeg tipper at ingen kommer til å være klare i mai neste år. Men folk må våkne opp. Mange har eksempelvis flere ulike skyløsninger som er opprettet av ansatte, uten at det er godtatt av de som ha ansvaret, advarte Waterhouse.

Thon kunne berolige med at det ikke nødvendigvis vanker store bøter for dem som ikke har alt klart fra dag én.

- Nivået på bøtene vil øke betraktelig, men det gjelder å ikke stirre seg blind på det. At alle har løsninger for dataportabilitet fra mai, vil vi ikke forvente. Vi er opptatt av at det finnes rutiner for samtykke og databehandling, at virksomhetene gjør vurderinger og begrunner dem.

Men også kundene vil forvente høyere nivå på behandlingen av persondata fremover, mener Hovda:

- Det har vært en stor bevisstgjøring, og de som klarer å behandle data på best mulig måte, vil kapre kunder. 

Fakta: Nye personvernregler

EUs forordning for personvern, GDPR (General Data Protection Regulation) blir norsk lov 25. mai 2018.

Hva betyr de nye reglene for en norsk bedrift?

• Alle bedrifter skal ha forståelig informasjon om hvordan de bruker personopplysninger.
• Alle skal vurdere risiko og personvernkonsekvenser.
• Alle skal bygge personvern inn i nye løsninger.
• Mange virksomheter må opprette personvernombud.
• Reglene gjelder også for virksomheter utenfor Europa.
• Databehandlerne i bedriften får nye plikter.
• Reglene inneholder nye krav til avvikshåndtering.
• Borgerne får nye rettigheter som bedriften må kunne oppfylle.

Alle skal ha en forståelig personvernserklæring

Informasjon om hvordan din virksomhet behandler personopplysninger, skal være lett tilgjengelig og skrevet på en forståelig måte. Det nye lovverket stiller strengere krav til informasjonens form og innhold enn dagens lovgivning. All informasjon som gis barn, skal tilpasses barnas forståelsesbehov.

Kilde: Datatilsynet 

Her kan du se opptak av dagens seminar: