Om et knapt år innføres nye personvernregler i Norge og EU. Da trer den nye personvernforordningen (GDPR) i kraft. Mye er likt med de bestemmelsene vi har i den norske personopplysningsloven i dag. På et viktig punkt skjerpes bestemmelsene. Datatilsynet kan ved brudd på regelverket ilegge bøter på inntil 20 millioner euro eller 4% av virksomhetens globale omsetning.
Selv om det i forbindelse med de nye bestemmelsene er mye fokus på digitale data, er det viktig å huske på at de også gjelder opplysninger som finnes i papirdokumenter.
Har virksomheten din et regelverk som tilfredsstiller kravene i personvernlovgivningen, har dere et godt grunnlag for å tilfredsstille de nye kravene. Det er likevel så mange viktige endringer at det anbefales å gå gjennom opplegget grundig. Det haster, for lovgivningen vil ikke gi tilgivelse for dem som ikke har et tilfredsstillende internt regelverk på plass innen 25. mai 2018.
I tillegg til skjerpet bøtenivå, endres kravene til internkontroll. Virksomhetene må ta større ansvar selv. Dette egenansvaret erstatter den tidligere forhåndsgodkjennelsen fra Datatilsynet. Dermed faller ordningen med melde- og konsesjonsplikt bort. Til gjengjeld kan man regne med mer etterkontroll og altså strengere sanksjoner ved regelbrudd.
Det nye prinsippet i personvernregelverket er at det er virksomheten som bruker personopplysningene, som har ansvar for at personvernprinsippene overholdes. Dette innebærer ifølge Datatilsynet at virksomheten skal kunne vise at de behandler personopplysninger i tråd med personvernprinsippene.
Det blir klarere bestemmelser om rettigheter og plikter. De er nedfelt i konkrete krav til jobben behandlingsansvarlige og databehandlere skal utføre. Det skal gjøres en reell vurdering av risiko, og tiltakene man iverksetter skal om nødvendig endres og oppdateres.
Avvik
I det nye regelverket blir det strengere krav til varsling ved avvik. Brudd på sikkerhetsrutinene skal varsles innen 72 timer etter at man blir klar over slike brudd. Hvordan man håndterer brudd skal dokumenteres.
Som et minimum skal varslingen inneholde en beskrivelse av avvikets natur, kontaktinformasjon til personvernombudet eller annet kontaktpunkt i virksomheten, en beskrivelse av mulige konsekvenser av avviket og en beskrivelse av tiltak som er (planlagt) iverksatt for å lukke avviket og begrense konsekvensene.
Varsling skal også skje til de personene som blir berørte av brudd på sikkerhetsrutinene.
Erfaringsmessig kan slike avvik lett oppstå ved håndtering av data på papirkopier. Fortsatt lagres i stor grad personopplysninger og sensitivt materiale på papir. Printerne og kopimaskinene brukes hyppig. Har man ikke da sikre nok rutiner for makulering av slike dokumenter, risikerer man at dette sensitive materialet kommer på avveie. Med nye regler fra 25. mai 2018 kan konsekvensene av det blir alvorlige.
Kontinuerlig
Med nytt regelverk blir det understreket enda klarere at informasjonssikkerhet er en kontinuerlig prosess hvor virksomheter plikter å vurdere løpende om de sikkerhetsrutinene de har valgt, er gode nok. Nye tiltak skal iverksettes hvis de pålagte risikovurderingene viser at sikkerheten ikke tilfredsstiller kravene. Det gjelder også vurdering av teknologi, som for eksempel hvordan makulering av dokumenter skal foregå.
Som datatilsynet påpeker kommer personopplysninger i mange former. De kan trykkes eller skrives på papir, lagres elektronisk, overføres via post eller elektroniske media, eller formidles muntlig. Uansett hvordan informasjonen formidles og lagres, skal den alltid beskyttes på en tilfredsstillende måte.
Disse bestemmelsene og flere andre innebærer at virksomhetene må gjennomføre et betydelig arbeid fram til mai neste år. Alle rutiner må gjennomgås og internkontrollen bedres. En viktig del av internkontrollen er rutiner for sikker sletting av data, makulering av papirdokumenter eller destruksjon av lagringsmediet. NG Secure bistår gjerne i forbindelse med gjennomgang av rutinene for det.