Hengelås plassert i skyen
EUs Personvernforordning del 1: Store konsekvenser for de fleste virksomheter - Bouvet Norge blogmask-mobile

EUs Personvernforordning del 1: Store konsekvenser for de fleste virksomheter

Trude Hole 
9. feb. 2016

En av de store snakkisene i bransjen det siste året har vært konsekvensene av personvernforordningen som kommer i 2018. Vi investerer mye på forberedelser, slik at kundene våre får en smidigst mulig overgang

Denne artikkelen er ført i pennen av Maren Sofie Sivertsen fra Kobra, og ble først publisert på nettstedet deres

Simen-Sommerfeldt-2243-kopi
Simen Sommerfeldt, CTO i Bouvet Øst

Simen Sommerfeldt, CTO i Bouvet Øst, har vært engasjert sammen med oss i KOBRA på oppdrag gjennom 2015. Han er blant dem som har satt seg aller grundigst inn i EU personvernforordning, og hvilke konsekvenser den vil få for næringslivet. Simen har fulgt prosessen tett og diskutert med ledende jurister på dette fagfeltet. Dette er den første artikkelen i en serie av tre hvor vi dykker ned i hva disse endringene betyr.

Del 1: Store konsekvenser for de fleste bedrifter

Del 2: Hva din bedrift bør tenke på

Del 3: En runde i krystallkula med EU-forordningen: Ni spådommer om markedet – og samfunnet

Avtalen som regulerte hvordan digital utveksling av personopplysninger mellom EU/EØS-land og USA, kjent som Safe Harbour, ble kjent ugyldig av EU-domstolen i oktober 2015. Foranledningen er det politiske spillet om innsyn i andres data, altså bedrifters og myndigheters tilgang til personlige opplysninger som ligger lagret i elektroniske tjenester.

Arbeidet med å komme til enighet med USA om en ny startet allerede i 2013, men det var altså ikke før i februar i år at vi endelig fikk en ny avtale - the "Privacy Shield". Den er mye omdiskutert, og avtaleteksten (primo februar) er ennå ukjent.

Samtidig har EU-kommisjonen jobbet med å oppdatere sitt eget personvernreglement.

Frem til den nye EU-forordningen for personvern trer i kraft har det vært personverndirektivet som ble vedtatt i EU i 1995 som gjelder. Det forrige direktivet ble etablert i tiden hvor Nokia var på sitt største, internett så vidt hadde fått fotfeste, og var i ferd med å bli allemannseie. Det har altså for lengst gått ut på dato, og det er på høy tid med nye reguleringer for å sikre borgernes rettigheter til sine egne data.

Hva utløste endringene:

Det var spesielt tre viktige faktorer som satte fart i disse endringene: – Snowden-avsløringene, økningen av datakriminalitet og rovdriften på borgernes data og nasjonale regler som hindret fri flyt av skytjenester gjorde et EU oppdaget at de var på etterskudd med personvern, forklarer Simen.

  • Edward Snowden avslørte for hele verden hvordan USA bevisst utfører overvåkning av både egne og europeiske borgere ved å tappe inn i datakilder de mente seg berettiget til, uten dom og uten mulighet for innsigelser og innsyn for de berørte. Dette strider mot menneskerettighetskommisjonen, og EU hadde gyldig grunn for å slå ned på det.
  • Det er vanskelig å anslå et helt konkret tall for datakriminalitet, men en undersøkelse fra McAfee sier at datakriminalitet koster den globale økonomien mer enn 3300 billioner kroner hvert år, og at det fortsatt øker. Bare i Norge har 150.000 blitt utsatt for ID-tyveri de siste to årene.
  • Borgerne har sett seg lei av å være salgsvarer for bedrifter som vil kapitalisere på data. ”73% vil ha tilfeldig og ikke tilpasset reklame” sa Bjørn Erik Thon, Direktør i datatilsynet under sin tale på Personverndagen. Denne lille videoen viser hvordan dette vil endre seg:

Vil påvirke oss alle – store bøter venter de som ikke innretter seg

Det er all grunn til å tro at de nye EU-forordningene vil få tilslutning når de stemmes gjennom i februar eller mars i år. Deretter vil klokka begynne å tikke – om to år trer de i kraft. Forskjellen på en forordning og et direktiv er at en forordning  etterfølges til punkt og prikke, altså inngå i lovverket til det enkelte land.

– Og bøtene kan bli opptil 4% av global brutto konsernomsetning per overtredelse,  forklarer Simen

Det er kun et fåtall av bedrifter som ikke vil måtte forholde seg til dette, og det gjelder for bedrifter i resten av verden som har kunder i EU. – Dette kommer til å gjelde de aller fleste virksomhetene i Norge: alle som har kunder i EU- og EØS-land må forholde seg til dette, til og med giganter som Google, Amazon og eBay. Firmaer utenfor EU må ha en juridisk representant som står parat til å svare for hvordan virksomheten følger disse forordningene, forklarer Simen.

Kravene til forvaltning av personopplysninger kommer til å føre til store endringer for hvordan virksomheter opererer – alt fra på hvilke plattformer og hvor dataene blir fysisk lagret, til hvordan sluttbrukere skal få innsyn i hvordan ens egne data beveger seg og forsikres om at uvedkommende ikke har tilgang til deres data. Big Data – avledet bruk – blir også strengt regulert. Dessuten må fokuset på datasikkerhet økes vesentlig for å unngå at informasjon blir stjålet.

– Microsoft har kommet med tall som sier at hvis du har gjort utvikling uten å tenke på sikkerhet, kan du legge på 40% ekstra kostnad for å få på plass sikkerheten og overvåkningen som vil kreves fra 2018, sier Simen.

Neste artikkel: Del 2: Hva din bedrift bør tenke på