Jeg kommer her med følgende påstand; Ivaretakelsen av vårt personvern er en av vår tids største utfordringer. Når du gir fra deg det mest verdifulle du har, gratis, hvorfor er det slik, hva skal vi gjøre, hvor går veien videre og hva er gevinsten ved å følge loven? Denne artikkelen vil gi deg noen svar på dette, resten er faktisk opp til hver og en av oss. 

 

Hvor står GDPR i dag?

Det er nok et stykke til å gå før vi er i mål, dersom vi noen gang kommer helt i mål, men det er helt tydelig at personvern har en annen klang nå enn for bare noen få år siden. Det skjedde noe når vi fikk appen, Smittestopp. Det ble et større fokus på hva myndighetene samlet inn av data og en skepsis til om det var nødvendig med så mye. Først da ble de aller fleste klar over hva tech-gigantene faktisk samler inn om oss. Etter dette har forsiktigheten økt, og vi har alle blitt litt mer forsiktig med hva vi deler. Dessverre virker det som om bedrifter og organisasjoner henger bak og ser på dette med GDPR som et nødvendig onde, som man kan utsette. Det skjer jo ingenting uansett. Jeg vil anta (det finnes ikke tall på dette) at så lite som 10% av norske bedrifter og organisasjoner har kontroll på GDPR. Det vil si at så mange som 90% tar feil i sine antagelser om at GDPR kun er et nødvendig onde.



Personvernundersøkelsen

Datatilsynet foretar en årlig “helsesjekk” på personvernet vårt. Den siste i 2020. Her sier nær 7 av 10 at de opplever liten kontroll over hvordan personopplysningene deres brukes og lagres på internett. Hele 6 av 10 føler seg maktesløse i forhold til sitt eget personvern, og 55 % har avslått å bruke en tjeneste fordi de er usikre på hvordan deres personopplysninger blir håndtert. Dette er interessante og alarmerende tall. Så mange som 47 % har unnlatt å gjennomføre et kjøp på internett når de føler at deres personvern ikke blir tatt på alvor. 

En nettside som ikke håndterer personvern godt nok ser altså ut til å skremme bort nærmere halvparten av sine potensielle kunder - før de har gjennomført kjøpet. Vi vet at nettsteder samler inn mye informasjon om sine kunder, og da er det særdeles viktig å ha en god strategi for å kommunisere personvern klart og tydelig. Det holder altså ikke lenger å skrive i en personvernerklæring «vi tar ditt personvern på alvor». Internettbrukere har blitt mer bevisste på hvilke rettigheter de har, noe som bør gjenspeile seg i nettsteders håndtering av personvern. 90% tar også feil når del gjelder deres oppfatning av bøter.

 

Bøter

Det er ikke bare de store gigantene og kommuner som får bøter lenger, dette rammer også de små. Gjengangeren er kameraovervåkning og kredittvurderinger, men her er eksempelvis noen av de små de siste månedene (offentlig tilgjengelig informasjon); Ultra-Technology AS – kr. 125.000.-, Waxing Palace AS – kr. 100.000.-, Basaren Drift AS – kr. 200.000.-, Miljø- og Kvalitetsledelse AS – kr. 35.000.-, Dragefossen AS – kr. 150.000.- Dette er noen av de minste på listen over bøter. Jeg nevner ikke bøtene for å skremme, selv om det selvsagt er meningen fra tilsynet, jeg synes at man bør se fordelene med å faktisk etterleve personvern som den største gevinsten. Det er her du henter kunder nå og i fremtiden. 

Det hviskes nå i de flislagte gangene om en ny konsekvens for brudd på personvernloven. Når Google får 50 millioner Euro i bot og skyver ansvaret over på oss, og når de aller største setter av en post i budsjettet som heter «bøter-GDPR» må vi gjøre noen annet, og kanskje noe mer riktig. Det vurderes pålegg om driftsstans. Om for eksempel Facebook må stenge ned i tre måneder vil konsekvensen være så stor og signalene så kraftige at det ikke lenger finnes noen vei rundt. Vi går spennende tider i møte.

 

gdpr data protection security

Cookie Consent - hva innebærer egentlig GDPR?

“Vi har kontroll på GDPR vi. Vi har en sånn boks man må trykke på når man går inn på nettsiden.” Denne hører jeg en del. La meg først ta det aller viktigste: Hva er egentlig GDPR? For 95% av organisasjonene der ute er det 4 punkter du må ha gjennomgått:

  1. Du må ha en protokoll, her samler du all informasjon om hva du behandler. Dette er hoveddokumentet ditt.
  2. Du må ha en risikovurdering. Hva kan gå feil og hvordan unngå at det går feil?
  3. Databehandleravtaler, du må ha en avtale med dine underleverandører om hva de kan bruke personopplysningene til og at de må bistå deg dersom du får et brudd.
  4. Så kan du skrive en personvernerklæring som du kan ha på nettsiden. Du har kanskje «lånt» litt fra noen du synes så fine ut? Ikke uvanlig, men heller ikke spesielt lurt. Det blir nesten alltid feil

Har du gjort dette så kan du slappe litt av. Så kommer vi til denne hersens boksen på hjemmesiden. Hva betyr det, hvorfor har vi det, og må vi ha det? Dette er vanskelig, men et eksempel kan kanskje belyse noe av problematikken. Et tysk firma med navn Planet49 hadde en konkurranse hvor man kunne vinne en Mac, og litt enkelt sagt var det slik at når du fylte ut kontaktinfo var det også forhåndsutfylt to kryss. Ett for at du kunne motta direkte markedsføring og ett for at du lastet ned cookies som monitorerte dine bevegelser på din maskin. Da skjedde to feil. Personvernloven sier i artikkel 4.11:

«samtykke» fra den registrerte enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende, 

Dette betyr at det ikke er lov med forhåndsutfylte kryss og at du skal vite eksakt hva du krysser av for. Det er altså ikke lov med flere handlinger til et samtykke. 

I tillegg så brøt selskapet mot en hel artikkel som skal tilrettelegge for samtykke:

Artikkel 7. Vilkår for samtykke

  1. Dersom behandlingen bygger på samtykke, skal den behandlingsansvarlige kunne påvise at den registrerte har samtykket til behandling av personopplysninger om vedkommende.
    Her må du altså ha en historikk over når samtykke ble gitt
  2. Dersom den registrertes samtykke gis i forbindelse med en skriftlig erklæring som også gjelder andre forhold, skal anmodningen om samtykke fremlegges på en måte som gjør at den tydelig kan skilles fra nevnte andre forhold, i en forståelig og lett tilgjengelig form og på et klart og enkelt språk. Deler av en slik erklæring som er i strid med denne forordning, skal ikke være bindende.
    Altså bare et samtykke pr. handling. Det er ikke uvanlig at det gis samtykke til 30-40 forskjellige cookies pr. samtykke. I tillegg skal altså alle forstå hva slags cookies dette er. 
  3. Den registrerte skal ha rett til å trekke tilbake sitt samtykke til enhver tid. Dersom samtykket trekkes tilbake, skal det ikke påvirke lovligheten av behandlingen som bygger på samtykket før det trekkes tilbake. Før det gis samtykke, skal den registrerte opplyses om dette. Det skal være like enkelt å trekke tilbake som å gi samtykke.
    Like enkelt å trekke tilbake som å gi. Det betyr et kryss så er du ute.
  4. Ved vurdering av om et samtykke er gitt frivillig skal det tas størst mulig hensyn til blant annet om oppfyllelse av en avtale, herunder om yting av en tjeneste, er gjort betinget av samtykke til behandling av personopplysninger som ikke er nødvendig for å oppfylle nevnte avtale.
    Det skal ikke være slik at du må akseptere et samtykke for å få tilgang til en god avtale og det er heller ikke slik at dersom du ikke aksepterer samtykke så skal ikke det få negative konsekvenser for deg.  

Rekk opp hånden du som har alt dette i orden!

 

Ny lov, hvor tar denne oss?

For å øke vanskelighetsgraden litt til. I Norge håndheves loven om cookies av NKOM og personvernloven av Datatilsynet. Her går det et skille ett eller annet sted. Nå skal vi forme en ny lov for å regulere dette minefeltet. Det kom inn 59 høringssvar, men så langt kan jeg ikke se noen som søker svar på hvordan vi rent praktisk skal regulere dette. Så nå får vi bare vente med å se hvor vi havner til slutt. Vil vi klare å regulere dette slik at vi blir kvitt nytteløse cookie-consent-bokser eller er det slutten på tredjeparts cookies generelt? 

 

Who's to blame?

Hvordan kunne det bli slik at vi fikk en lov som nesten ingen skjønner noen ting av og i alle fall ikke hvordan man kan håndheve den? Vi kan selvsagt peke på de grå herrene i Brüssel, det er i alle fall et populært sted å peke. Vi kan anklage Datatilsynet som ikke har maktet å informere oss om hva og hvordan. Uansett hvor vi velger å peke så har vi et lovverk å forholde oss til og leter vi lenge nok finner vi i artikkel 52. punkt 4 som sier følgende:

Hver medlemsstat skal sikre at hver tilsynsmyndighet har de menneskelige, tekniske og økonomiske ressurser og lokaler samt infrastruktur som er nødvendig for å kunne utføre sine oppgaver og utøve sin myndighet på en effektiv måte, herunder i forbindelse med gjensidig bistand, samarbeid og deltaking i Personvernrådet.

Her er loven klar på at det er Den Norske Regjering som er ansvarlig for at Datatilsynet skal ha de nødvendige ressurser for å utføre sitt arbeid. Jeg hverken skal eller kan uttale meg om Datatilsynets ressurser er nok, men når 90% av norske bedrifter og organisasjoner ennå ikke har kontroll på GDPR er det fristende å tenke at det er nettopp her nøkkelen ligger.

 

Hva nå?

Dommedag, eller en bedre hverdag? Jeg tror oppriktig at dersom alle har et bevisst forhold til hva vi samler inn, hva vi bruker det til og hvor lenge vi har disse opplysningene så blir det bedre for oss alle. Det handler jo om å tenke oss om og å vise hensyn til hverandre, god gammeldags folkeskikk! Da har du kommet langt. Så er det jo også det forbrukeren ser etter, ikke de som sier at de tar personvernet på alvor, men de som faktisk gjør det. Det er da du når de 47 prosentene som valgte din konkurrent. Da har personvern blitt lønnsomt og ikke et nødvendig onde.

 

Kilder:
www.datatilsynet.no
https://lovdata.no/dokument/NL/lov/2018-06-15-38/*#*
https://www.regjeringen.no/no/dokumentarkiv/regjeringen-solberg/aktuelt-regjeringen-solberg/kmd/pressemeldinger/2021/forslag-til-ny-ekomlov-skal-gi-gode-og-fremtidsrettede-digitale-tjenester/id2865520/

 



Tom Bülow-Kristiansen

Written by Tom Bülow-Kristiansen

DPO og daglig leder i Råder GDPR