Personvern - hva kreves av din bedrift?

Avfall

Datatilsynets direktør Bjørn Erik Thon viste deltakerne på Bedriftenes Møteplass 2017 at digitaliseringen som gjør det mulig å tilpasse tjenestene også har en personvern-side. 

Nye regler for personvern krever mer av bedriftene. Fra 2018 gjelder ny personvernlov som angår alle virksomheter.

Det skal lite til at data blir personifisert. Selv om navn fjernes fra data, og de «liksom» anonymiseres, står det igjen mange opplysninger som - når de er koblet - viser tilbake på enkeltpersoner. Alle medlemsbedriftene i KS Bedrift har mengder av data som omfattes av personvern. 

Persontilpasset reklame

Digitaliseringen gir oss automatiserte avgjørelser. Reklamen baserer seg på klikkene du gjør. Det er ikke tilfeldig at reklame for drømmeferien på Rhodos dukker opp rett etter at du har sjekket flyprisene til, nettopp, Rhodos.

Men noe forbedring i algoritmene sier Thon at det kan bli: - Jeg leier container hvert 5 år, men etter at jeg har leid container dukker reklame for disse avfallstjenestene opp de neste 3 månedene. Det er ikke da jeg trenger reklamen.

Nye rutiner må på plass

Et fellestrekk for utviklingen av offentlige tjenester i lokalsamfunnet er bruk av «big data» - store datamengder - som gir nyttig informasjon når de kobles sammen. Sensorer forteller når avfallsbeholderen trenger tømming og at elbilen lader når det passer kapasiteten i strømnettet best.

Dette kan utnyttes til beste for både tjenestene, miljø, økonomi og beredskap. Likevel fører denne kunnskapen også til personifiserte data som kan misbrukes. Personvernet blir styrket i ny lov og virksomhetene må forberede seg på å gjøre en jobb internt for å få på plass gode arbeidsmetoder.

6 sjekkpunkter for å følge loven

Personvernforordningen pålegger bedrifter å ta personvernet langt mer på alvor enn tilfellet har vært tidligere. Datatilsynets direktør ga tilhørerne på Bedriftenes møteplass 2017 en 6-punkts liste for å sjekke om bedrifter:

  • utred konsekvenser for personvernet, forsøk å minimere risiko
  • innebygget personvern i enheten - data slettes etter en viss tid, minst mulig sporing
  • forhåndsdrøfte med Datatilsynet - særlig med komplekse datamengder, feks. helseforetak
  • alle offentlige etater, også alle kommunelat eide bedrifter, skal ha personvernombud som påser at regelverk overholdes
  • skal ha system for avvikshåndtering
  • internkontrollsystemer der personverntiltak er nedfelt

Se også Datatilsynet sider om den nye personvernloven