Nye personvernregler, - ja det på høy tid! Verden har forandret seg en god del siden 1995, da det nåværende personverndirektivet ble etablert. I en hverdag der Facebook, Google, skytjenester, BigData, AI, IoT og smarte apper er blitt en selvfølge, er det utrolig viktig at både vi som forbrukere, og de som samler inn data, blir mer bevisst. Men hva handler de nye personvernreglene egentlig om?
Individets rettigheter
De nye personvernreglene setter individet i sentrum. Vi skal eie våre egne persondata, og har rettigheter knyttet til hvordan våre egne data kan bli brukt. Vi har rett til innsyn i hva som er lagret om oss, rett til å korrigere feil og rett til å bli slettet og glemt. Vi har rett til å motsette oss automatiske beslutninger, og vi har til og med rett til å få med oss våre egne data på maskinlesbar form til en konkurrent.
GDPR er basert på noen grunnleggende prinsipper
Ett viktig prinsipp er at for all innsamling av persondata skal det kunne vises til en hjemmel. Innsamlingen skal ha en klar hensikt og dataene skal ikke benyttes til andre formål enn de ble samlet inn for. I noen situasjoner kan det argumenteres med kompatibelt formål. Det skal i tillegg lagres færrest mulig data, på færrest mulig steder, på en trygg måte og de skal ikke lagres lenger enn nødvendig. Sletting av data kommer nok til å bli en av de største utfordringene. Det vil virkelig kreve en kulturendring.
Sensitive persondata
GDPR stiller særdeles strenge krav til behandling av sensitive persondata, som for eksempel politisk syn, etnisk bakgrunn og seksuell legning. Dette er vi vant til. Det som er nytt er at det inkluderes to nye kategorier som skal behandles like varsomt, nemlig genetiske og biometriske data. Genetiske data kan for eksempel være DNA-analyser som viser sannsynlighet for arvelige sykdommer. Biometriske data inkluderer er alt rundt monitorering og overvåking, som for eksempel fingeravtrykk, ansiktsgjenkjenning og adgangskontrollsystemer. De som kjører salgskampanjer på nett må nå innhente samtykke for å drive målrettet profilering. Mange blir overrasket over at loggfiler som viser når folk logger inn og ut av systemer også kommer inn under denne kategorien, og må være godt sikret.
Overføring til tredjeland
En av driverne for å få et felles regelverk var å gjøre det enklere å overføre persondata på tvers av landegrenser innen EU-området. Land som følger GDPR anses som trygge å utveksle persondata med. For overføring til land utenfor ordningen er det desto strengere krav.
GDPR sier at overføring til tredjeland er forbudt, med mindre spesielle avtaler er på plass. Selvfølgelig vil vi fortsette med outsourcing til land utenfor EU, men da er det viktig å sette seg inn i hvilke avtaler som må på plass. Flere saker det siste årene har vist hvor viktig dette er, for eksempel saken med Helse Sør-Øst i fjor, der IT-arbeidere i Asia og Øst-Europa hadde fått tilgang til pasientdata på 2,8 millioner norske borgere. Og Nødnettsaken, der en underleverandør av en underleverandør ga en underleverandør i India tilgang til nasjonal-kritiske systemer.
Roller og ansvar
Med GDPR kommer en tydelig definisjon av roller, med tilhørende ansvar. Det kreves at behandlingsansvarlig og databehandler skal kunne vise en oversikt over hva slags persondata de prosesserer, og hvorfor. De må begge kunne vises til gode prosesser og jevnlige risikovurderinger. I tillegg skal alle nye tjenester som utvikles følge prinsippet om «Privacy by design, and by default». Både behandlingsansvarlig og databehandler må kunne demonstrere at de følger GDPR. Offentlige virksomheter, samt de som behandler store mengder sensitive eller biometriske data, må i tillegg ha en Data Protection Officer (DPO). DPO-rollen er omdiskutert. Slik den er definert i GDPR ligner den en revisor i en intern compliance-funksjon. Det skal altså ikke være en rådgiver, men en kvalitetskontrollør. DPO-rollen kan gjerne besettes med en ekstern ressurs, og det trenger ikke være en fulltidsstilling.
Bøter og sanksjoner
Det blir spennende å se hvordan GDPR-landene vil klare å håndtere bøter og sanksjoner på en rettferdig, transparent og omforent måte. Det som er viktig å være klar over er at de aller høyeste bøtene, med øvre ramme 20 millioner Euro eller 4 % av omsetningen («whatever highest»), er forbeholdt ganske enkle overtredelser innen områder jeg har nevnt i denne artikkelen, nemlig brudd på individets rettigheter, grunnleggende prinsipper, og overføring til tredjeland. Ignorering av GDPR kan også medføre bøter. En bedrift som behandler store mengder persondata uten å ha gjort en eneste risikoanalyse, og i tillegg nekter Datatilsynet innsyn ved brudd, vil for eksempel ligge ganske tynt an.
Krav til hvordan kravene skal etterleves
GDPR kommer ikke bare med krav. Det stilles også krav til hvordan kravene skal etterleves. Ved et brudd, vil det å kunne vise til gode prosesser og en godt gjennomført risikoanalyse kunne redusere boten betraktelig. Ja, kanskje eliminere den helt. Dermed kommer enda et perspektiv inn i bildet. Etterlevelse må kunne dokumenteres!
Hvis Datatilsynet banker på døra, trenger du bevis! Bevis for at dere har god tilgangskontroll, for at det gjøres risikovurdering før store endringer og for at sikkerhetshendelser håndteres forsvarlig. Her snakker vi om dokumentasjon av daglige aktiviteter. Uten gode prosesser og tilhørende verktøystøtte, vil det være svært utfordrende å samle nok bevis.
Jeg vil påstå at for virksomheter av en viss størrelse vil det rett og slett være umulig å demonstrere etterlevelse av GDPR uten et velfungerende styringssystem i bunnen.
Hva er et styringssystem?
Et styringssystem/kvalitetssystem definerer organisasjonens egne prosesser og rutiner, måten de utfører det daglige arbeidet på. I utformingen av sitt styringssystem kan virksomheten gjerne basere seg på anerkjente rammeverk, eller ta utgangspunkt i kravene i en ISO-standard. (ISO-standardene definerer god praksis for styringssystemer innen en rekke områder, inkludert ISO 27001 for informasjonssikkerhet.)
Felles for alle moderne styringssystemer er at de tar utgangspunkt i Deming-sirkelen – selve kvalitetshjulet «Plan-Do-Check-Act» – der du planlegger noe, du utfører, måler resultatet og gjør korrektive tiltak. Dette er den prosessorienterte måten å jobbe på. Det holder ikke å ha prosessene definert. Det må også kunne vises til etterlevelse, og en strukturert prosess for kontinuerlig forbedring. Felles for alle moderne styringssystemer er også et krav om en risikobasert tilnærming.
ITIL som styringssystem
For dere som har jobbet med ITIL-rammeverket høres nok dette kjent ut. Det er ikke så rart. ITIL-rammeverket definerer jo god praksis for styring av IT-tjenester, altså et styringssystem. Dersom din bedrift jobber etter ITIL betyr det at dere allerede har innført et styringssystem. Dere har strategi og mål definert, dere har prosesser implementert, dere vurderer risiko, og dere måler og forbedrer.
Få med deg del 2 av denne artikkelen:
