Ny personvernforordning fra EU – på vei mot det digitale Europa

0

EU-parlamentet har vedtatt ny personvernforordning. Denne skal være innført i alle virksomheter før 25. mai 2018, og er også gjeldende for EØS-land. De nye reglene medfører økt ansvarliggjøring av bedrifter og offentlig forvalting, betydelige økte nivåer for overtredelsesgebyr og økt fokus på kontroll og overholdelse av lovgivningen. I praksis betyr dette at alle EU- og EØS-land vil få et nytt personvernregelverk som trer i kraft våren 2018.

Digitalisering av Europa

Det forventes fra politikerne at forordningen vil gjøre forskjellene mellom landene i Europa mindre. EU ønsker en sterkere harmonisering. I dette tilfellet et likt personvernnivå i hele EU- og EØS-området. Dette vil kunne føre til at tilsynsmyndighetene i større grad kan være samstemte. I dag spriker praksis mellom landene, og også mellom sektorene. Brudd på regler fra et internasjonalt selskap i et gitt land, kan i fremtiden bli ilagt bot av tilsynsmyndighet i virksomhetens hjemland. Det nye EU-parlamentsvedtaket om ny personvernforordning er kun én av Eu’s strategier for å digitalisere Europa. Et Europa med et konglomerat av system og praksis hvor teknologien langt på vei har løpt fra gjeldene regulatorisk praksis og haltende rutiner. Det er derfor på tide å gjøre noe.

Hva er nytt i vedtaket?

De nye reglene vil legge større forpliktelser på virksomhetene, men vil også gjøre det enklere å vite hvordan man skal behandle personopplysninger på en god og lovlig måte. I tillegg gjør forordningen forskjellene mellom landene mindre, noe som vil gjøre det lettere for virksomheter å behandle personopplysninger på tvers av landegrensene i Europa. De nye reglene gjelder ikke bare for virksomheter i Europa, men også for bedrifter utenfor Europa som tilbyr varer og tjenester til europeiske borgere.

Sett fra virksomhetens ledelse medfører dette et økt ansvar og behov for forsterkede rutiner knyttet til selve utøvingen av personvernet. EU-forordningen krever blant annet at virksomheter som lagrer eller benytter persondata skal kunne ha et bevist forhold til, og kunne svare på følgene:

  • Hvilke persondata er lagret og til hvilket formål?
  • Hvilke av virksomhetens data må merkes som følsomme persondata?
  • Hvem er databehandler og ansvarlig for persondata?
  • Hvilke avtaler er inngått med eventuelle underdatabehandlere?
  • På hvilken måte benyttes og flyter persondata rundt i systemene?
  • Er data sikret mot ekstern og intern hacking?
  • Hva er konsekvensene for persondata ved eventuelle eksterne sikkerhetsbrudd?

Løsningskonsept for en smidig innføring

Mange private og offentlige virksomheter er usikre på hva dette vil bety i praksis. Hvor omfattende vil omleggingen være og hvilken praksis bør de tillempe? For å imøtekomme slike utfordringer har advokatfirmaet Føyen Torkildsen og SAS Institute utviklet et internasjonalt forretningskonsept for å hjelpe virksomheter slik at de på en effektiv måte kan imøtekomme kravene i den nye forordningen.

Føyen Torkildsen leverer juridisk- og forretningsmessig ekspertise og SAS Institute leverer avanserte analyse- og dataintegrasjonsprogrammer som effektiviserer arbeidet med omleggingen. Konseptet er bygget rundt erfaringer fra lignende prosjekter og leveransene består av rådgivning og spesialtilpasset IT-støtte som kartlegger og dokumenterer avvik i forhold til dagens praksis og kravene i den nye personvernforordning. Konseptet vil videre gi virksomheten innsikt i alternativer og hva som bør på plass for å sikre tilstrekkelig fremdrift før endringen trer i kraft mai 2018. Du kan høre mer om forretningskonseptet på vårt felles, gratis frokostseminar den 13. desember.

Akseleratorer for effektiv innføring

Vi tror at det som vil gi en smidig innføring av forordningen, vil være at virksomhetene fokuserer på erfaringsmessige kritiske hovedaktiviteter. Dette vil innledningsvis være datakartlegging med datakildeanalyse, dataflytanalyse, logging, monitorering og kontroll av brukere og tilgangsrettigheter. Deretter oppdatering av viktige driftsrutiner slik som hendelsesanalyse, administrasjon av retningslinjer, audit samt det å få på plass et tilstrekkelig revisjonsspor.

For at virksomhetene raskt skal kunne komme i gang med det praktiske arbeidet, har vi tilrettelagt et sett med såkalte akseleratorer som vil effektivisere arbeidene og gi oversikt over hvor virksomhetene selv må investere og prioritere. Akseleratorene vil hjelpe brukerne med:

  • Analysere personvernkonsekvenser ved innføring av ny forordning
  • Få oversikt og gjennomføre risikovurderinger over systemer
  • Operasjonalisere og administrere kontrollister
  • Etablere sikkerhetsmål og sikkerhetsstrategier
  • Monitorere og sikre livsløpsporing av retningslinjer
  • Forvalte hendelseshåndtering
figur-akseleratorer-for-effektiv-innforing-ny-eu-personvernforordning_ny
Figur 1. Akseleratorer for effektiv innføring av ny personvernforordning fra EU

Akseleratorene kombinerer god praksis med sikker informasjonshåndtering og knytter rådgivningstjenestene tett til funksjonalitet i SAS-systemet. De har selvkonfigurerende egenskaper, tilsvarende pre-konfigurert programvare, som kobler seg opp mot virksomhetens datasystem og IT-prosesser uten at brukeren må programmere.

Akseleratorenes primæroppgave er å hjelpe virksomheten i å foreta helt konkrete vurderinger av personvernkonsekvenser gjennom å produsere oversikter over systemer og relatert risiko. Ved hjelp av akseleratorene kan virksomheten også implementere rutiner som gir oversikter over ønskede kontroller og overvåkningsrutiner. De gir videre virksomhetene operative verktøy for administrasjon og livsløpssporing av retningslinjer, støtter innføringen av standardiserte prosesser og rutiner for håndtering, samt administrasjon av hendelser og risiko.

Innledningsvis, nevnte jeg at den nye forordningen vil legge større forpliktelser på virksomhetene, og at den også vil gjøre det enklere å vite hvordan personopplysninger kan behandles på en god og lovlig måte.

Tags
Share

About Author

Inge Krogstad

Experienced PHD with a demonstrated history of working in the computer software industry. Strong healthcare services professional skilled in Partner Management, Customer Relationship Management (CRM), Balanced Scorecard, IT Strategy, and Predictive Analytics

Leave A Reply

Back to Top