Nyhetsbrev

Ny epoke for personvernet

Etter fire års politisk dragkamp er EU-kommisjonen og EU-parlamentet blitt enige om nye personvernregler. Dette er den største endringen for personvernet på 20 år. Nå blir det dyrt å ikke følge reglene.

Dagens personvernregler stammer fra et EU-direktiv fra 1995, før internett og epost ble allemannseie. De er nå utdaterte og ikke lenger egnet til å gi klare svar på hva som er lov og ikke. Den nye personvernforordningen, General Data Protection Regulation, består av over 200 sider med langt mer utførlige regler. Disse vil også gjelde for Norge. Personvernet skjerpes, forbrukerne får mer kontroll, næringslivet må tilpasse seg, og bøtenivået blir skyhøyt. En gjennomlesing avdekker blant annet disse nyhetene:

Bøter

I dag er maksboten for lovbrudd i underkant av 900 000 kroner. Etter den nye forordningen kan en bedrift ilegges bøter på opptil 20 millioner euro eller 4 % ved regelbrudd. Antakeligvis siktes det til omsetning i konsernet, ikke bare for den enkelte bedriften. Dette vil åpenbart virke avskrekkende. Personvern skal bli en ryggmargrefleks hos næringslivsledere.

Rett til å bli glemt

Personer skal gis kontroll over egne data. Personvernforordningen vil gi en forbruker rett til å kreve at data slettes når et samtykke trekkes tilbake, når et kundeforhold opphører og når en konto avsluttes.

Rett til dataportabilitet

Personer skal gis en form for eierskap til egne data. Når en person ønsker å bytte tjeneste, skal han kunne ta med seg dataene han har lastet opp til sin eksisterende tjenesteleverandør, på samme måte som man har nummerportabilitet når man skifter telefonabonnement. Dette vil kunne bidra til å styrke konkurransen i en rekke markeder ved at man reduserer lock-in effekter.

Rett til informasjon

De nye reglene krever at personverninformasjon gis i "clear and plain language". Informasjonen må være lettfattelig for folk flest og kan ikke lenger gjemmes i liten skrift.

Rett til å motsette seg profilering

Personer skal gis rett til å motsette seg at bedrifter analyserer adferd og preferanser og lager personprofiler for bruk til markedsføring. Moderne former for markedsføring vil derfor kreve samtykke.

Nye samtykke-regler

Det vil ikke lenger være akseptabelt å operere med generelle samtykker, hvor en bruker må samtykke til "alt eller ingenting". Kundene må gis mer nyanserte valg. Man må kunne velge "I accept" til én form for bruk av data, men samtidig avslå andre former for bruk av data. Det kan bli mulig for barn helt ned til 13 år å samtykke.

Privacy by design og privacy by default

Løsninger må designes med personvern for øye, og standardinnstillingene skal være personvernvennlige. Det skal ikke være brukernes ansvar å skru av funksjonalitet som innebærer merbruk av data. De skal være avslått så fremt brukeren ikke har valgt å aktivere dem.

Personvernombud blir påbudt

Det blir påbudt for en del bedrifter å ha et personvernombud. Dette gjelder blant annet for de som har håndtering av data som sin kjernevirksomhet, for eksempel IT-leverandører og nettbutikker, for de som har større mengder sensitive data, for eksempel forsikringsselskap og helseforetak.

Ekstraterritoriell virkning

Mens dagens regler kun gjelder bedrifter i EØS, skal de nye reglene utvides til å gjelde alle verdens bedrifter som tilbyr sine varer og tjenester mot EØS-markedet eller som monitorer brukere i EØS. Alle apper og skytjenester som er tilgjengelig for EØS-borgere vil måtte etterleve personvernforordningen. Dette vil i en viss grad bøte på den skjevheten i rammebetingelser som norske og europeiske aktører i dag opplever i konkurranse med Facebook, Amazon, Google, osv.

Selv om det nå er etablert politisk enighet i EU, gjenstår den formelle vedtakelsen, som vil skje på vårparten neste år. EØS-landene har to år på å innføre forordningen, men reglene vil nok gradvis bli praktisert innen det. Som med andre regelrevolusjoner, gir personvernforordningen både utfordringer og nye muligheter. Mer bevisste brukere med sterkere rettigheter kan gi konkurransefortrinn for fleksible tjenester som ivaretar personvernet på en god måte. For norsk næringsliv er det om å gjøre å være i forkant og allerede nå sette i gang med tilpasningen.

Deler av dette innlegget sto også på trykk i Finansavisen 19. desember 2015.

Ta kontakt med: