fagLIg INNspILL regelverket betydning for hvordan systemer for automatiserte beslutninger og kunstig intelligens utformes og tas i bruk. Et av de grunnleggende konseptene er kravene til innebygd personvern (privacy by design and default) som krever at personvern ivaretas og bygges inn i alle deler av et system. GDPR og forslaget til ny norsk lov er ikke bare en oppdatering av gjeldende regler. Det vil for mange være nødvendig å gjøre endringer i systemer og prosesser som følge av nye forpliktelser og rettigheter for de registrerte. Dette arbeidet kan starte allerede nå, selv om det fortsatt er noen måneder igjen før ny lov trer i kraft. Her er noen tips for virksomheter som behandler personopplysninger: • Alle må ha oversikt over regelverket og hvilke forpliktelser som gjelder for virksomheten. Sørg for tilstrekkelig forankring og forståelse i ledelsen og berørte deler av organisasjonen. • Lag en oversikt over hvilke personopplysninger virksomheten skal ha – her kan du lese mer om hva oversikten skal inneholde (fra Datatilsynet). • Kartlegg systemer og prosesser. • Kartlegg og ta kontakt med partnere og underleverandører. Sørg for å ha nødvendige avtaler på plass, og oppdater eksisterende om nødvendig. En underleverandør kan ikke behandle personopplysninger på annen måte enn det som er avtalt med den behandlings ansvarlige. Ansvar og risiko bør fremgå klart og tydelig for å unngå misforståelser og tvil om ansvar hvis uhellet er ute. alle norske virksomheter som behandler personopplysninger enten om ansatte, kunder eller brukere får nye forpliktelser. • Få oversikt over risikofaktorene ved å gjennomføre en risikovurdering. • Gjennomgå systemer, prosesser og behandlinger for å kartlegge hvilke endringer som er nødvendig som følge av nytt regelverk. • Vurder personvernkonsekvenser av behandlingen om nødvendig. Vurderingen skal sikre at personvernet til de registrerte ivaretas. • Sørg for å ha et oppdatert system for internkontroll og rutiner for behandling av avvik. • Sjekk om du må ha en personvernrådgiver. Alle virksomheter må sørge for at systemer og prosesser ivaretar kravene til informasjonssikkerhet, den registrerte sitt personvern og andre krav i regelverket, for eksempel sletting av unødvendig eller gammel informasjon, retten til innsyn, retten til dataportabilitet osv. En viktig endring fra dagens regler at forordningen i større grad legger opp til bruk av sertifiseringsordninger og adferdsnormer. Overholdelse av slike normer kan brukes for å dokumentere at virksomheten oppfyller regelverket. Det nye personvernregelverket stiller store krav til den som behandler personopplysninger. Også små virksomheter vil være berørt av dette. Forordningen skiller i noen grad mellom store og små virksomheter. For eksempel vil virksomheter med færre enn 250 ansatte ikke være forpliktet til å føre en oversikt over behandlingsaktivitetene. Dette unntaket gjelder imidlertid ikke hvis behandlingen trolig vil medføre en risiko for de registrertes rettigheter og friheter, behandlingen ikke skjer leilighetsvis eller behandlingen omfatter sensitive opplysninger. Datatilsynet vil i det kommende året publisere veiledninger for de nye kravene i GDPR og hvordan man oppfyller dem. Tilsynet har nylig lagt ut flere veiledninger, blant annet: • Informasjonssikkerhet etter nytt regelverk • Vurdering av personvernkonsekvenser • Personvernombud Advokat kari gimmingsrud og advokatfullmektig Isak Mendoza. nytt personvern 31 temahefte-48