GDPR: Kanskje ikke så vanskelig likevel?

Å overholde EUs nye personvernlovgivning (GDPR), er ikke så vanskelig som du kanskje tror. Arne Johannessen, DPO hos Ipsos Norge forteller hvorfor. Men også hvordan du unngår å gjøre feil.

GDPR: Kanskje ikke så vanskelig likevel?

Av Rita Tvede Bartolomei

- GDPR (General Data Protection Regulation) skal rett og slett sørge for at personidentifiserende informasjon ikke kommer på avveie. Personidentifiserende informasjon kan være opplysninger som navn, alder, telefonnummer, adresse, mailadresser og IP-adresser. Ekstra sensitiv informasjon kan være politisk tilhørighet eller opplysninger om helsetilstand og så klart personnummer. Nå må det et aktivt samtykke til fra den enkelte, før informasjonen kan sendes, eller skal behandles videre. Det må komme klart frem hvorfor man trenger informasjonen, sier Arne Johannessen, DPO og Quality Manager hos Ipsos Norge.
Som DPO skal han sørge for at datasikkerheten ivaretas hos Ipsos (DPO betyr Data Protection Officer). Johannessen er i tillegg hovedansvarlig for annen kvalitetssikring og ISO-sertifiseringer. 

 

Ikke like stor omstilling i Norge

Han mener Norge allerede hadde en veldig god og trygg personvernlov. Den hadde svært mange likhetstrekk med den nye forordningen.
- GDPR er en innskjerping av det vi allerede har hatt. Det blir nok mer omstilling for virksomheter som befinner seg i enkelte europeiske land der lovgivningen ikke har vært så god, sier Arne Johannessen.

Marketoonist

Fra 20. juli 2018 ble den eksisterende lovgivningen skjerpet med GDPR. 
- Den største forskjellen er at økonomiske sanksjoner (slik som bøter), er en sannsynlig konsekvens om man ikke klarer etterleve det nye regelverket. I tillegg ble reglene gjeldende for alle EU og EØS-land, og hvor det stilles større krav til dokumentering, sier han.
Arne Johannessen sier Ipsos har fått mange henvendelser fra sine kunder om GDRP.
- Og vi hjelper dem med gode tips og innspill til hvordan de kan overholde personvernforordningen, sier Johannessen.

 

Å behandle personinformasjon med respekt

Arne Johannessen sier GDPR egentlig bare er positivt både for enkeltpersoner og for virksomheter.

"En virksomhet som behandler personinformasjon med respekt, vil også få mer respekt fra sine kunder og samarbeidspartnere. For oss i Ipsos som har mye kontakt med befolkningen, har vi lagt stor vekt på forsiktighet ved håndtering av personidentifiserende informasjon"

Det tydelige kravet for hvordan man nå behandler disse dataene, er likevel litt fremmed for enkelte bedrifter. 
- Vi i Ipsos er heldigvis drillet på at vi ikke skal sende personlig informasjon om det ikke er strengt nødvendig. Det er også noe vi må tenke på når vi ber folk være med i våre markedsundersøkelser. Det er ikke all informasjon som er nødvendig å ha med, sier Arne Johannessen.

 

Gode, Daglige ProsjektRutiner (GDPR)

Arne Johannessen
Arne Johannessen, DPO & Quality Manager

DPO-ansvarlig hos Ipsos Norge, Arne Johannessen, sier at GPDR er et naturlig resultat av digitaliseringen, hvor informasjon om personer mye enklere kan spres ganske ukontrollerbart.
- Tenk bare på hvor raskt man kan spre og duplisere informasjon ved å legge ved et kunde- eller medlemsregister i en e-post og sende til et gitt utvalg, sier han.

GDPR kan på sett og vis kokes ned til dette, sier Arne:
- Ja, det jeg litt spøkefullt har kalt Gode, Daglige ProsjektRutiner – forkortet til GDPR så det er enkelt å huske. Med gode rutiner for hvordan man håndterer informasjon, så blir ikke GDPR så fremmed og vanskelig. Da kommer det inn under huden, sier han.

 

Vil du vite mer om Ipsos' forpliktelse til personvern og databeskyttelse? Last ned hele dokumentet her
Vil du vite mer om hva en virksomhet må tenke på med innføring av GDPR? Les hva Datatilsynet skriver om temaet her.

 

Hva er GDPR?
GDPR, General Data Protection Regulation er EUs forordning (regelverk) for personvern. Den har som formål å sørge for en god beskyttelse av personopplysninger, samtidig som personopplysninger skal kunne utveksles fritt innenfor EU- og EØS-området. 
Personvernforordningen ble vedtatt av Europaparlamentet og Rådet i EU 27. april 2016. Den trådte i kraft i EU og i alle EUs medlemsland 25. mai 2018, og i Norge 20. juli 2018.

 

GDPR - tips til virksomheter fra Arne Johannessen

  1. Ikke send filer med personidentifiserende informasjon (PII) på e-post. Bruk EUtransfer eller hyperlinker for intern bruk. 
  2. Om PII skal overføres til og/eller fra kunde/leverandør MÅ det foreligge en databehandleravtale (en databehandleravtale skal sikre at personopplysninger blir behandlet i samsvar med regelverket og setter en klar ramme for hvordan databehandleren kan behandle opplysninger.) 
  3. Ta alltid stilling til hvilken informasjon du MÅ ha. Minimer PII så mye som mulig.
  4. Sørg for at det foreligger et samtykke for behandling av informasjon.
    Husk at du må spørre om nytt samtykke for hver gang du trenger PII til et nytt formål.
  5. Sørg for at det alltid foreligger et tydelig formål for hva du trenger informasjonen til.
  6. Slett PII og koblingsnøkler (en koblingsnøkkel er en navneliste eller fil som muliggjør identifisering av enkeltpersoner i et datasett) etter endt oppdrag.
  7. Kanskje viktigst, SPØR om du er i tvil.