saNksjONer professor tror høye bøter vil ha god effekt Det nye bøtenivået vil være helt hinsides det vi tidligere har operert med i Norge, sier professor i personvernrett. Tekst: Bjørn A. Grimstad At mange nå har innsett alvoret og tar nødvendige skritt for å være oppdatert med lovverket, er alle kursene og seminarene som nå finner sted, et tegn på. Mye tyder på at å unngå høye bøter er en del av drivkraften. – GDPR har vært gjenstand for oppmerksomhet det siste året, og ledelsen i ulike bedrifter har blitt mye mer bevisst på personvern. For noen har det vært tilløp til panikk for å komme i havn med å oppfylle kravene, sier Lee Andrew Bygrave, professor ved Institutt for privatrett og leder for Senter for rettsinformatikk ved Universitetet i Oslo. Han omtales som en ledende ekspert på personvernrett og bruker nå mye tid ved siden av at forordningen på også finne tilfeller av dårlig formuuniversitetsjobben på å kurse og lerte rettslige krav som konkurrerer mange punkter er gi råd til bedrifter og andre virkmed andre viktige behov, sier han. somheter om EUs nye forordning. vanskelig å tolke. kunne sette et eksempel for andre og bidra til et bedre personvern for alle, sier han. Bygrave presiserer at han ikke kjenner til IKTskandalen i Helse SørØst i detalj, men uttaler på generelt grunnlag at det ser ut som ren systemsvikt. Han vil samtidig ikke garantere at et mer detaljert regelverk alltid vil føre til at ledelsen tar hensyn til personvern og datasikkerhet i slike moderniseringsprosjekter. – Det vil alltid være et gap mellom loven på papiret og hvordan den utføres i praksis. Dette kan skyldes ignoDet er et ranse, og misforståelser av hvordan problem regelverket skal etterleves. Man vil – Det eksisterer et stort behov for å forstå forordningen. Samtidig er det et problem at forordningen på mange punkter er vanskelig å tolke. Jeg registrerer en betydelig mangel på kompetanse på feltet blant mange virksomheter, både i offentlig og privat sektor, sier han. Et helt nytt bøtenivå Selv er professoren positiv til at forordningen snart skal implementeres i norsk lov. Spesielt tror han muligheten for å gi høyere bøter vil ha god effekt. – Datatilsynet får et større register av sanksjonsmuligheter. Det nye bøtenivået vil være helt hinsides det vi tidligere har operert med i Norge. Dermed blir fallhøyden desto større. Hvis vi får noen tilfeller hvor selskaper får saftige bøter for å ha brutt denne lovgivningen, vil dette Krysser av på listen – Kravene kan dermed lede til en øvelse i å håndtere informasjonen uten at noe skjer, reelt sett. Man krysser av på kravlisten uten at det fører til en vedvarende positiv effekt for personvernet. Det har man sett flere eksempler av innen IKTsikkerhet, sier han. I likhet med Datatilsynet mener han at innføringen av GDPR ikke betyr slutten på tjenesteutsetting av store datamengder med sensitiv personinformasjon til utlandet. Men det kommer til å bli mer krevende. – Personvernforordningen forbyr ikke tjenesteutsetting eller overføring av personopplysninger til et tredje land. Men vilkårene for å gjøre det vil bli skjerpet. Dette følger også av at EUdomstolen har blitt strengere på denne typen saker, sier han. Ikke sLUtt: Innføringen av gDpr i mai betyr ikke slut- ten på tjenesteutsetting til utlandet, mener professor Lee Andrew Bygrave. – Men det kommer til å bli mye vanskeligere enn før, sier han. temahefte-48