fagLIg INNspILL
regelverket betydning for hvordan systemer for
automatiserte beslutninger og kunstig intelligens
utformes og tas i bruk. Et av de grunnleggende
konseptene er kravene til innebygd personvern
(privacy by design and default) som krever at
personvern ivaretas og bygges inn i alle deler av
et system.
GDPR og forslaget til ny norsk lov er ikke
bare en oppdatering av gjeldende regler. Det
vil for mange være nødvendig å gjøre
endringer i systemer og prosesser som følge av
nye forpliktelser og rettigheter for de
registrerte. Dette arbeidet kan starte allerede
nå, selv om det fortsatt er noen måneder igjen
før ny lov trer i kraft.
Her er noen tips for virksomheter som
behandler personopplysninger:
• Alle må ha oversikt over regelverket og hvilke
forpliktelser som gjelder for virksomheten.
Sørg for tilstrekkelig forankring og forståelse i
ledelsen og berørte deler av organisasjonen.
• Lag en oversikt over hvilke
personopplysninger virksomheten skal ha –
her kan du lese mer om hva oversikten skal
inneholde (fra Datatilsynet).
• Kartlegg systemer og prosesser.
• Kartlegg og ta kontakt med partnere og
underleverandører. Sørg for å ha nødvendige
avtaler på plass, og oppdater eksisterende om
nødvendig. En underleverandør kan ikke
behandle personopplysninger på annen måte
enn det som er avtalt med den behandlings
ansvarlige. Ansvar og risiko bør fremgå klart
og tydelig for å unngå misforståelser og tvil
om ansvar hvis uhellet er ute.
alle norske
virksomheter
som behandler personopplysninger
enten
om ansatte, kunder
eller brukere får nye
forpliktelser.
• Få oversikt over risikofaktorene ved å
gjennomføre en risikovurdering.
• Gjennomgå systemer, prosesser og behandlinger
for å kartlegge hvilke endringer som er
nødvendig som følge av nytt regelverk.
• Vurder personvernkonsekvenser av behandlingen
om nødvendig. Vurderingen skal sikre
at personvernet til de registrerte ivaretas.
• Sørg for å ha et oppdatert system for internkontroll
og rutiner for behandling av avvik.
• Sjekk om du må ha en personvernrådgiver.
Alle virksomheter må sørge for at systemer og
prosesser ivaretar kravene til informasjonssikkerhet,
den registrerte sitt personvern og
andre krav i regelverket, for eksempel sletting av
unødvendig eller gammel informasjon, retten til
innsyn, retten til dataportabilitet osv.
En viktig endring fra dagens regler at forordningen
i større grad legger opp til bruk av
sertifiseringsordninger og adferdsnormer.
Overholdelse av slike normer kan brukes for å
dokumentere at virksomheten oppfyller regelverket.
Det nye personvernregelverket stiller store
krav til den som behandler personopplysninger.
Også små virksomheter vil være berørt av dette.
Forordningen skiller i noen grad mellom store
og små virksomheter. For eksempel vil virksomheter
med færre enn 250 ansatte ikke være
forpliktet til å føre en oversikt over behandlingsaktivitetene.
Dette unntaket gjelder imidlertid ikke hvis
behandlingen trolig vil medføre en risiko for de
registrertes rettigheter og friheter, behandlingen
ikke skjer leilighetsvis eller behandlingen omfatter
sensitive opplysninger.
Datatilsynet vil i det kommende året publisere
veiledninger for de nye kravene i GDPR og
hvordan man oppfyller dem. Tilsynet har nylig
lagt ut flere veiledninger, blant annet:
• Informasjonssikkerhet etter nytt regelverk
• Vurdering av personvernkonsekvenser
• Personvernombud
Advokat kari gimmingsrud
og advokatfullmektig Isak
Mendoza.
nytt personvern 31
temahefte-48