Den nye personvernloven
Grunnleggende om GDPR — med ord du forstår.
Dersom du jobber med nettsider eller driver en nettbutikk har du kanskje hørt om de nye personvernreglene (som kommer, en gang i fremtiden). Kanskje har du til og med hørt om GDPR. Hjelp!
La oss ta de juridiske definisjonene først.
GDPR står for General Data Protection Regulation, og er en såkalt forordning. En forordning er en slags EU-lov. GDPR-forordningen (ofte kalt personvernforordningen på norsk) er et sett med regler for hvordan offentlige og private virksomheter skal innhente og behandle personlige data på nett. Reglene i forordningen gjelder på lik linje med nasjonale lover i hvert enkelt land i EU. Reglene omfatter også Norge — på grunn av EØS.
Personlige data omfavner både “vanlige” personlige data (blant annet navn, telefonnummer, boligadresse og fødselsnummer) og sensitive data (for eksempel informasjon om religiøse og politiske synspunkter, og seksuell orientering).
Hvorfor får vi nye regler?
Fordi verden forandrer seg.
Verden blir stadig mer digital, og informasjonsmengden vokser. De reglene vi har i dag ble vedtatt i 1995. Mye har skjedd siden den gang. Folk har blitt generelt mer opptatt av personvern og mer bevisst på hvilke data som lagres hvor. “Big data”, Wikileaks og Edward Snowden preger nyhetsbildet. Vi shopper også mer på nett, og legger igjen kredittkortdetaljer og personopplysninger når vi handler alt fra klær til flybilletter.
GDPR tar også sikte på å standardisere — eller “harmonisere” — regelverket på tvers av landene i EU. Det er en oppdatering av eksisterende regler, og regelverket skal være mer enhetlig enn det er i dag.
Hva skjer nå?
Forordningen gjelder fra og med 25. mai 2018.
Det er ikke lenge til. Derfor bør du sette i gang nå. Alle virksomheter som på et eller annet vis innhenter, lagrer og benytter personlige data bør så raskt som mulig sette seg inn i de nye reglene. Du bør forstå hva GDPR handler om, hva det går ut på, og hva du må gjøre for å handle i tråd med reglene.
Dette er omfattende saker. GDPR inneholder til sammen 99 artikler (inndelt i 11 kapitler) med definisjoner, prinsipper, rettigheter og restriksjoner knyttet til informasjonssikkerhet, dataprosessering, roller, internkontroll med mer. Kokt ned til det helt essensielle handler det om at du må forklare brukerne dine hva slags personlige data du samler inn, hvorfor du samler inn dataene, og hva du bruker dataene til. Du må også sørge for å behandle dataene på en forsvarlig måte støttet av interne rutiner og kontroller.
Mer konkret handler det blant annet om at du må skrive om innhenting og behandling av personlige data på en enklere og mer forståelig måte — uten blytunge juridiske formuleringer. Du må tenke personvern når du utvikler nye løsninger. Kanskje må du utnevne et personvernombud.
Etter 25. mai 2018 kan du få bøter (opptil 4% av den samlede omsetningen til virksomheten). Men ikke tenk på det. Dersom du tar personvern seriøst, slipper du bøter. Og brukerne dine får større tillit til deg.
Mer lesestoff
Som om du trengte å lese mer. Men ja, det er en del å sette seg inn i. Hvis du ikke er helt klar for å dykke rett ned i regelverket (tysk og engelsk), så anbefaler jeg å lese GDPR will change data protection på Wired.com.
Ta også turen til Datatilsynet, som har mye informasjon om temaet.
