Hva må kartlegges? Hva må gjøres?
Ledelsesutfordringene GDPR gir deg

Av Christer Dalsbøe, Stine Strandvik, Henning Dahl og Stein Opsahl – strategiske rådgivere hos Knowit Experience

Som leder står du ansvarlig for at bedriften følger lover og forskrifter, og nå gjelder det EUs nye personvernforordning som trer i kraft i mai 2018. ’To do’-listen involverer både jurister, teknologer og spesialister på (digital) kommunikasjon og strategi, mens mye av kartleggingen kan dere gjøre selv. Gode strategiske GDPR-prosjekter legger grunnlaget for raskere implementeringstid og mindre dobbeltarbeid.

Bakgrunn

GDPR (General Data Protection Regulation) er nye EU-krav til behandling og bruk av sensitive persondata og andre personopplysninger. EUs nye lovgivning erstatter et utdatert lovverk som opprinnelig var tilpasset lagring av persondata på papir. Hensikten er å styrke borgernes personvernrettigheter i en digital hverdag. Det nye er at morselskapet nå vil stå økonomisk ansvarlig for eventuelle straffereaksjoner utløst av mislighold fra datterselskaper i samme konsern. Derfor må alle virksomheter være kompatible i forhold til GDPR når EU-forordningen trer i kraft 25 mai 2018. 

Den nye EU-forordningen er en tilstramming og forsterkning av gjeldende regelverk, og for første gang får europeiske virksomheter og borgere ett overnasjonalt regelverk å forholde seg til. Sanksjonene i form av bøter legges på et helt nytt nivå, potensielt så mye som to til fire prosent av bedriftens globale topplinje. Vi må forvente at håndhevelsen blir skjerpet av tilsynsmyndighetene både i Norge og i EU.

Knowit har en rekke pågående GDPR-oppdrag i Norden; basert på en helhetlig tilnærming hvor vi ser teknologi, kommunikasjon, brukere og lovverk i sammenheng. Vi forventer stor etterspørsel etter våre GDPR-kompetanse på både strategi-, kommunikasjons- og utviklingsprosjekter frem mot 25 mai 2018. 

Ulike virksomheter, ulike behov 

For virksomheter som baserer seg på en abonnementsmodell og lange kunderelasjoner i forbrukermarkedet, betyr GDPR bare mer av det samme; ærlige kundedialoger. Det nye regelverket åpner for at kunder og forbrukere har retten til å få slettet informasjon de selv har oppgitt i bedriftens databaser, dersom de ønsker det. I tillegg har en forbruker rett til å få utlevert all data din bedrift har lagret om henne, som f. eks. CRM-data, samt hvilke typer profilering dere har gjort av henne. I en oppsigelsessituasjon vil hun kunne kreve at denne informasjonen kan overføres til en konkurrent av dere. 

Det beste svaret på denne utfordringen er å effektivisere en åpen og ærlig digital kundedialog. GDPR gir kundene/innbyggerne mer makt, og dere må sannsynligvis gjøre endringer på systemsiden; for å tilgjengeliggjøre data for endring, sletting og portering til konkurrenter om kunden ønsker dette.

GDPR dreier seg om digital kundedialog
GDPR er faktisk en stor markedsmulighet, og erfarne ledere som forstår kunden burde ikke ha så mye å bekymre seg for. I praksis dreier dette seg om den åpne og ærlige, enkle dialogen.

Til syvende og sist betyr GDPR at dere må tenke enda mer i retning av det engelskmennene kaller ‘privacy by design’. Det betyr å se på personvern som et sentralt utgangspunkt når man utvikler løsninger som lagrer kundedata. Dette blir nå obligatorisk og svært aktuelt fordi teknologiene som benyttes gir så mange muligheter til å komme i konflikt med GDPR. Kundens rett til å bli informert understreker behovet for åpenhet når det gjelder hvordan dere tar vare på og bruker personlige data.

Samtykkeutfordringer og praktiske konsekvenser
Samtykke må innhentes ved lagring av all persondata man ikke ellers har lovlig grunnlag for å lagre. Det må informeres om hva slags data som lagres, og spesifikt samtykkes for hvert enkelt formål dataen brukes til. Det betyr at hvis du har innhentet samtykke for å lagre data som skal brukes ved tilbud om strømavtale, kan du neppe sende en e-post med reklame for et mobilabonnement.

For mange virksomheter innebærer dette at samtykke må hentes inn på nytt. Disse og andre krav betyr at nye systemer må etableres frem til mai 2018. Det nye sanksjonssystemet gir myndighetene rett til å ilegge overtredelsesgebyr ved grove brudd på forordningen. Siden eventuelle bøter gis på konsernnivå kan slurv og snarveier i ett datterselskap med få kunder gi store konsekvenser for konsernet.

Så, hvordan skal dere kommunisere med kunden?
Retten til å bli informert innebærer at brukerne får fullt innsyn hvordan deres persondata behandles. Det viktige her er bruk av vanlig språk - fortell kunden hvilke data du lagrer, hvorfor du behandler dataene deres, hvor lenge de blir lagret og hvem som mottar dem.

Dette er et av de sentrale punktene i GDPR, noe som nødvendiggjør at informasjonen skal være "kortfattet, ærlig, forståelig og lett tilgjengelig". Det er ikke tillatt å benytte ferdigutfylte avkrysningsbokser, men kanskje viktigere er at kunden alltid har mislikt slikt. GDPR er en større utfordring for virksomheter som ignorerer kundens behov, enn for bedrifter som har best mulig kundeopplevelse som rettesnor.

Bruk GDPR som en mulighet
Hensikten med GDPR er også å motvirke trusler som cyber angrep og identitetstyveri, og konsekvensen er at bedrifters normale kommunikasjonskanal trues. Det finnes mange gode løsninger som både ivaretar bedriftenes behov for effektiv, digital kundedialog og som tilfredsstiller de nye kravene til sikkerhet. GDPR er rett og slett en mulighet for virksomheter til å vise at de tar nødvendige grep for å sikre forbrukernes personvern og egen datasikkerhet.

Spørsmålene du må ha svar på

 

  1. Hvilke data er samlet inn i dag, hva er det egentlig behov for og hvor er dataene lagret?
  2. Har vi en digital logg på hvordan vi skaffet oss samtykke, for f. eks. e-post første gang eller hvordan samtykkets livshistorie har vært?  Hvis ikke må vi søke aksept fra kunde fra gang til gang.
  3. Samler vi bare inn et minimum av informasjon, eller alt for mye informasjon?
  4. Er vi forberedt på henvendelser fra brukere som ønsker sletting eller redigering eller flytting av persondata? Har vi rutiner for dette på plass?
  5. Vet vi hvordan vi kan ivareta backup slik at vi ikke laster inn igjen informasjon for en bruker som har ønsket sletting?
  6. Brukes personnummer, medlemsnummer, mobilnummer, bilens reg.nr. eller annen sensitiv info som nøkkel mellom tabeller og systemer?
  7. Vet vi hvordan vi lager pseudonymiserte syntetiske data som kan brukes som testdata?
  8. Er tilstrekkelig tilgangskontroll på plass til å sikre konfidensialitet til informasjonen internt i deres organsiasjon?
  9. Er Privacy by Default på plass i applikasjoner og systemutvikling?
  10. Har vi vurdert hva brudd på databehandlingen kan resultere i for brukerne våre?

Hvem må gjøre hva?

’To do’-listen involverer som tidligere nevnt både både jurister, teknologer og spesialister på (digital) kommunikasjon.

  1. Dere må kartlegge hvor og hvordan dere lagrer persondata, om datasikkerheten er tilfredsstillende og hva dere bruker dataen til.
  2. Gjennomgå avtalene dere har med data-relaterte leverandører (CMS, hosting, kontorstøtte, konsulenter, etc)
  3. Gjennomgå praksis i forhold til performance marketing (Google AdWords, Analytics, Facebook, etc), kundekommunikasjon og annen digital markedsføring.
  4. Gjennomgå praksis mhp personvern-policy, samtykke, sletting, portabilitet, etc.
  5. Revidere og forsterke internkontroll rutiner (compliance), herunder varslingsrutiner ved henvendelser og brudd på regelverket.
  6. Definere tydelig ansvar og roller innenfor personvernfeltet (helhetlig) og avklare om dere trenger et dedikert Personvernombud.

10 grunner til at GDPR er viktig

1. Overnasjonalitet innenfor EU og EØS
2. Loven berører en mengde data.
3. Loven gjelder også utenfor EU/EØS.
4. Loven gjelder databehandlere i alle ledd; også ansatte i for eksempel USA eller outsourcing til India.
5. Ansvarliggjøring er gjennomgående fokusert. Bestillere, programmere, etc.
6. Enkeltindividets rettigheter er styrket og mange bedrifter må rydde opp i mye grums i sine CRM-systemer
7. Brudd på behandlingspliktene må varsles senest innen 72 timer
a. Med sensitiv informasjon menes rase, religion, helse og seksuell legning. (For eksempel om nærmeste pårørende til Peder heter Jens.)
8. Et Personvernombud skal for mange selskaper utnevnes på konsern-nivå
a. Kan også utnevne egne ombud i datterselskaper
9. Data-eksport vil være vanskelig i mange tilfeller
a. Skal være kryptert (https, vpn, etc)
b. Må også kryptere lagrede persondata. For eksempel en outsourcet ressurs i India som kan aksessere filer i Norge
10. Loven gir muligheter for megabøter ved alvorlige brudd. Tilsynet kan utstede på inntil fire prosent av konsernets globale topplinje.
a. Datatilsynet blir EUs DPA – Data Protection Authority.
b. I praksis kan et svensk tilsyn avgjøre om vi gjør noe galt i Norge, og omvendt.

Både data, applikasjoner og prosesser må kartlegges

Data
1. Hvilke data-kategorier har selskapet?
2. Kan databaser og filer slås sammen og reduseres?
3. Er data-flyt monitorert, dokumentert og beskrevet?
4. Har man aktiv godkjenning fra registrert bruker i dag?
5. Har registrert bruker mulighet for å redigere opplysninger om seg?
6. Er dataene kryptert “in situ” og “in transit”
1. Lønnslipper for eksempel må sendes som "en konvolutt i en konvolutt" med andre ord må lønnsslippen være et kryptert vedlegg som bare mottakeren kjenner passordet til. Da er de personlige opplysningene kryptert "in situ" og "in transit" og kun tilgjengelig for mottakeren dom vet krypteringsnøkkelen.

Applikasjoner
1. Hvilke applikasjoner behandler berørt informasjon i selskapet i dag?
2. Er data-flyt for applikasjonen monitorert, dokumentert og beskrevet?
3. Har man aktiv godkjenning fra registrert bruker i dag i enkeltapplikasjon i dag?
4. Har registrert bruker mulighet for å redigere opplysninger om seg i en applikasjon?
5. Er Security by Design innarbeidet i applikasjonen? (Konfidensialitet, Integritet og Tilgjengelighet)
6. Er trusler og risiko vurdert under applikasjonsutviklingen?
7. Er Privacy by Design ivaretatt i applikasjonen?
8. Hvordan behandle barns aksept?
9. Er grunnlaget for innsamling av spesifikk informasjon godt beskrevet?
10. Er det lett for bruker å be om å få se hvilken informasjon som er samlet inn?
11. Er det lett for bruker å be om å få redigere informasjonen om seg selv?
12. Er det lett for bruker å be om at informasjon om seg selv blir slettet (uten å bryte andre lovkrav)?
13. Ivaretas minimalisering av datainnsamling, transparens, aktiv aksept, proaktiv sikring av innsamlet data i form av kryptering etc i applikasjonen?

Prosesser og dokumentasjon av gjennomføring av styring- og kontrollaktiviteter.
1. Er avtaler med databehandler og dennes underleverandør kartlagt og dokumentert
2. Kan databehandler fremlegge dokumentasjon av kontroll-aktiviteter
3. Gjennomføres Risikovurdering av applikasjonens/dataenes kritikalitet?
4. Er prosedyre for hendelsesrapportering på plass?
5. Er en prosess for å kunne hente ut en brukers informasjon ved forespørsel på plass?

Bli kontaktet
Stein Opsahl
Strategisk rådgiver

Terminologi

  • Data Subject
    • Personen hvis data samles inn og som kan identifiseres, direkte eller indirekte, fra dataene.
  • Data Controller (Behandlingsansvarlig)
    • Organisasjonen som definerer årsaken til datainnsamlingen
    • Den som bestemmer hvordan dataene samles inn og behandles
    • Den som umiddelbart er ansvarlig for datalagringen
  • Data Processor (Databehandler)
    • En person eller en enhet som handler på vegne av Behandlingsansvarlig for å lagre eller behandle informasjonen
    • For eksempel:
      • konsulentselskaper
      • outsourcing selskap
      • offsite lagrings-leverandør
      • sky leverandør (cloud)
      • markedsføringsorganisasjon som driver tilfeldige kampanjer
  • Supervisory Authorities (Regulators)
    • Offentlige organer opprettet av myndighetene i EU-landene som rådgir behandlingsansvarlig og datasubjektet om loven og håndhevelsen av reguleringen.
    • De kan undersøke brudd og bøtlegger registeransvarlige og ”Data Processor”.
    • Noen ganger referert til som databeskyttelses-myndigheten, Data Protection Authorities (DPA).
  • Data Protection Officer (DPO)
    • Et personvernombud som skal utnevnes for
      • Offentlige myndigheter
      • Virksomheter hvor Data Controller og Data Processor regelmessig og systematisk overvåker data-subjekter i større skala
      • Enheter hvor en virksomhet i stor skala behandler sensitive persondata
    • Formuleringen ”mer enn 250 ansatte” er fjernet i det nye regelverket.
  • Personal Data
    • Navn, adresse, fødselsdato, personnummer, personlig e-postadresse,
    • Bedriftens e-postadresse og telefonnummer.
    • Online-identifikatorer fra ulike ’devicer’ og dataprogrammer Inkludert IP-adresse, informasjonskapsler eller andre identifikatorer som RFID-koder.
    • Data som brukes alene eller sammen med andre data for å identifisere et individ/person.
  • Sensitive persondata
    • Genetiske eller biometriske data
      • Fysisk eller psykisk helse
      • Rase eller etnisk opprinnelse
      • Politiske meninger
      • Fagforenings-medlemskap
      • Religiøs eller filosofisk overbevisning
      • Seksuelle preferanser
    • Data om kriminelle handlinger og straffeutmåling behandles separat i (Direktiv 2016/680). Kan bare behandles av nasjonale myndigheter.

Om forfatterne

Christer Dalsbøe og Stine Strandvik er strategiske rådgivere ved Knowit Experience i Oslo. Henning Dahl er strategisk rådgiver ved Knowits kontor i Bergen og Stein Opsahl er direktør for strategisk rådgivning, Knowit Experience i Norden.

Forfatterne ønsker å takke Jan Bjørnsen i Knowit Secure for hans bidrag til denne artikkelen.

Til toppen