d:mag | Et magasin fra DIPS ASA 2-2017

Hun fikk sjokk, journalisten i «The Guardian», som i september i år fikk datingappen «Tinder» til å levere ut det de hadde lagret av opplysninger om henne. I løpet av de fire årene hun hadde brukt appen, hadde Tinder lagret 800 sider med informasjon. Journalisten fikk servert sine innerste, dypeste hemmeligheter. Detaljer og historikk, meldinger og menn hun selv hadde glemt for lengst. Vet du hvilke opplysninger du legger igjen på nett og på sosiale medier, hva som lagres og hvem som har tilgang til dette? GDPR EU er i ferd med å sette foten ned med unionens nye personvernforordning kalt General Data Protection Regulation (GDPR). Denne overnasjonale loven gjelder for hele EU og EØS-området, og trer i kraft fra 25. mai neste år. Hvert land må tilpasse sine egne lover til GDPR, og EU varsler temmelig ekstreme straffegebyrer til bedrifter som ikke setter seg inn i og følger det nye regelverket. – Organisasjonene kan straffes med bøter som utgjør fire prosent av hele årsomsetningen, maksimalt 20 millioner Euro, forteller Ingrid Egelandsaa, som er kvalitetssikringsleder i DIPS AS. DIPS tar GDPR på største alvor, slik bedriften alltid har jobbet grundig med å sikre at personvernet er ivaretatt i alt det de foretar seg. DIPS kjører et internt prosjekt vedrørende personvern, for å gjøre de grep som er nødvendig med tanke på GDPR i alt fra DIPS-produkter, tjenester og prosesser, til avtaler med kunder og partnere. Egelandsaa leder prosjektet, og opplever at hele helsesektoren generelt har et stort fokus på GDPR. VURDERE KONSEKVENSER – Dersom du etterlever kravene i det norske regelverket i dag, er det ikke så langt igjen før du er på GDPR-standard, sier juridisk seniorrådgiver Camilla Nervik i Datatilsynet. Hun bekrefter at helseforetak og selskaper som behandler sensitiv pasientinformasjon tradisjonelt har gode rutiner på plass. Likevel er det litt å ta tak i også for disse. – For eksempel skal det etter vårt syn nå gjøres en personvernkonsekvens­ vurdering. Denne innebærer mer enn en risikovurdering, og betyr at en må vurdere hvilke opplysninger som lagres og hva slags betydning dette har for enkelt­ personer. Denne konsekvensvurderingen må dokumenteres og er en av de viktigste endringene som følger med GDPR. I tillegg må det offentlige, og selskap som hånd­ terer store mengder personopplysninger, ha personvernombud, sier Nervik. Egelandsaa påpeker utfordringene som ligger i at det norske regelverket ennå ikke er klart, og at det ikke er kjent hvilke påvirkninger GDPR medfører for særlov­ givningen. Norsk oversettelse av GDPR er ikke offisiell, mens Justisdepartementet har sommål å ha på plass stortings­ proposisjonen på området i løpet av våren. GJELDER ALLE Datatilsynet bekrefter at vi i Norge vil ha både lovene og håndhevingen av lovene i gang samme dag. – Vi kan føre tilsyn etter GDPR allerede fra 25. mai, og det er ikke planlagt noen som helst form for glidende overgang mens bedriftene tilpasser seg lovverket. EU vedtok dette i 2016, så det er to år siden GDPR kom og det var mulig å begynne 14 d:mag | 2-2017 GDPR: Bedrer personvernet Sist EU lagde et regelverk om personvern, hadde kun en eneste prosent av EUs borgere tilgang til internett. Grepene som gjøres nå løfter det nettbaserte personvernet ut fra det som i dag fremstår som steinalderen.