NINA HANSSEN

nina.hanssen@lomedia.no

Forkortelsen GDPR står for General Data Protection Regulation. Det er særlig R-en i denne forkortelsen som er viktig å merke seg, mener Torgeir Waterhouse i IKT-Norge.

– R er veldig viktig for det står for regulering. På EU-språk betyr det «sånn er det bare», mens direktiv er enten minimum eller maksimum som gir ganske stort rom for nasjonal tilpasning. Når man nå regulerer, så er grunntanken at personvernet skal være likt i hele Europa. Nokså likt i alle fall, fordi det ikke er noe som er helt likt på «EUsk», slenger han på.

• Dette bør du vite om EUs nye personvernregler

Innstramming er bra

Torgeir Waterhouse synes det er bra at GDPR nå blir innført, men er skeptisk til at en rekke advokatfirmaer og andre selskaper nå selger seg dyrt inn til bedrifter og fagforeninger for å «hjelpe dem» med overgangen.

– Dette er jo veldig enkelt. Det er en innstramming av personvernregelverket, og det betyr jo ikke så mye for de som allerede har gode rutiner på dette fra før, sier han.

Waterhouse er en populær foredragsholder og snakker på en måte som er lett å forstå.

Han sier at EU har sett seg nødt til å stramme inn, fordi noen av de som driver med behandling av data ikke har hatt gode nok rutiner.

– Reguleringen gir deg og meg mer kontroll over våre egne data. Det bør vi ønske velkommen, sier han.

• Dette gjør forbund for å tilpasse seg GDPR

Strengere krav

– Det er bra for oss alle at vi får mer kontroll med data som omhandler oss. Det stilles samtidig strengere krav til alle ledere og tillitsvalgte som skal behandle dataene, understreker Waterhouse.

Men heller ikke her er det noen grunn til å få panikk, mener han.

– Det handler bare om at all behandling av data skal være lovlig, og den som er leder har et ansvar for å vite at det er lovlig. Noe av problemet nå er at noen tror de vet og skaper skremmebilder.

Waterhouse mener at det å ha orden i sysakene er et klart lederansvar, og selv om det kanskje er IT-avdelingene som gjør det praktiske etter dialog med advokater og andre, så må lederne i organisasjonen eller bedriften ta ansvar. Han anbefaler alle å sette seg inn i artikkel 5 i kapittel 2 av GDPR.

– Det er 11 kapitler og 99 artikler i hele regelverket, men folk bør i alle fall lese artikkel 5 som er helt grunnleggende. Den handler om prinsippene om at all databehandling skal være lovlig, rimelig og transparent.

– I tillegg skal data ha en formålsbegrensning. Hvis for eksempel idrettslaget ber om nummeret og eposten for å oppdatere deg om treninger, så er det kun det de skal bruke opplysningene til. Hvis de skal bruke dine data til andre ting, må de ha en godkjenning.

• – Arbeidsgiveren vet alt om meg fra før

Mange er usikre

Waterhouse har sett at mange organisasjoner og bedrifter nå sender ut epost til medlemmene og ber om samtykke fordi de er redde for bøter. Og bøtene EU har foreslått er ganske avskrekkende, da de sier at de kan være på inntil 4 prosent av omsetningen.

– Mange er nå usikre på om de har godt grunnlag og vil sikre seg. Overgangen til GDPR er stor for de som ikke allerede i dag følger regelverket, men for andre som har rutiner er det ikke store utfordringer. Det er Datatilsynet som skal sjekke om folk overholder GDPR.

– Det handler om å gå gjennom de avtalene man har med sine medlemmer. Hvis man er usikker, så er det mulig å ta kontakt med Datatilsynet for dialog eller forhåndskonsultasjon, sier han.

– Hvis man gjør «questback» for medlemmene i et forbund skal dette være relevant for medlemmene. Responsen man får skal ikke lagres lenge.

Ifølge Waterhouse er et positivt utfall av GDPR at mange blir mer bevisst på datasikkerhet.

– Det er jo litt som Mattilsynets kontroller. Målet er å holde trøkket oppe på behov for renhold og rutiner for hele bransjen, sier han.

• Ansatte tror Nav vil takle overgangen til nye personvernregler greit

Personvernombud

– Personvernombud er en fin greie. Jeg anbefaler alle ledere å ta en test på Datatilsynets hjemmeside. Da kan de få svar på om de trenger ombud eller ikke. Det er ikke krav til et slikt ombud for alle. Men det er en god idé å delegere ansvaret til noen på arbeidsplassen. Tillitsvalgte kan ha denne rollen, men da må man passe på at de ikke havner i interessekonflikter. Det blir litt som en internrevisor, sier han.

Waterhouse har følgende råd til alle:

– TENK gjennom følgende: Hvilke data, fra hvor, om hvem, er hvor, som hvem har tilgang til, til hvilket formål, med hvilket grunnlag, sikret hvordan, og dokumentert hvordan, som hvem har ansvar for.

EN GOD TING: Torgeir Waterhouse i IKT Norge mener det er en god ting at privatpersoner får mer kontroll over egne data som følge av EUs personverndirektiv.

Ole Palmstrøm