GDPR og Corona – Slik har personvernsloven endret seg i 2020

Året 2020 har vert kaotisk og uoversiktlig. De store endringene i samfunnet og næringslivet vårt som følge av pandemien har gjort GDPR og personvern viktigere enn noen gang.

I Arribatec har vi hatt mye GDPR arbeid i 2020 og bistått en rekke bedrifter å etterleve personvernsloven i denne perioden. Her kommer årets viktigste saker og endringer pluss tips til hva du bør ta med seg inn i 2021 for å gjøre GDPR mer overkommelig.

I 2020 har det blitt innhentet og oppbevart en større mengder sensitiv informasjon, helseopplysninger, enn tidligere på grunn av covid-19 og mange bedrifter har begynt å føre besøkslister. Det danske Datatilsynet har meldt seg selv inn til Datatilsynet for brudd på personvernreglene og FHI’s smittesporingsapp fikk massiv kritikk i forbindelse med GDPR slik at de måtte stoppe appen.

Hvilke GDPR endringer har skjedd i Norge i 2020?

Arribatec har sett en kraftig økning i GDPR henvendelser fra hele landet i løpet av 2020. Spesielt etter sommeren har vi sett et økende trykk fra norske bedrifter som trenger veiledning og bistand på personvernsloven.

Dette tyder på et skjerpet fokus på GDPR, som er svært positivt. Grunnen til dette kan være at stadig flere norske selskaper blir fellt av Datatilsynet og selv bedrifter med èn ansatt blir klaget inn og revidert.

Desverre opplever vi at svært mange bedrifter fortsatt stever med å etterkomme lovverket og det er fortsatt mange som mangler oversikt. Største andelen som nå tar kontakt har enda ikke startet på GDPR arbeidet sitt som er svært overraskende over to år etter GDPR ble en del av norsk lov.

På den ene siden har man leverandører av apper og tjenester hvor vi gjerne opplyser om mer enn man tenker over. På den andre siden har man statlige initiativer som den nye etterretningstjenesteloven og digitalt grenseforsvar, som gir staten mye større spillerom i å hente inn opplysninger om den enkelte. Selv om det i lovverket settes begrensninger på hva som skal samles inn, er det teknologiske begrensninger som gjør at disse filtreringene ikke oppleves som realistiske. Derfor krever GDPR mer fokus enn noen gang tidligere.

Hva har skjedd med GDPR på internasjonal basis i 2020?

Internasjonalt har der skjedd mye som påvirker GDPR og hvordan loven utvikler seg i praksis. Dette er høyst aktuelt også for oss i Norge.

En av de store hendelsene er Schrems II – dommen. Dette er en dom som kort oppsummert gjør det mer krevende å overføre data til såkalte tredjeland, altså land utenfor EØS som ikke har blitt godkjent av EU. Det mange ikke tenker på er at USA også er et slikt tredjeland.

Det er flere konsekvenser av denne dommen. Det ene er at Privacy Shield ble ugyldiggjort som et overføringsgrunnlag. Dette er et rammeverk som i starten forenklet dette med overføringer til USA. Det andre er at behandlingsansvarlig nå er pliktig til å sørge for at beskyttelsesnivået er på linje med det vi har i EØS. Dersom en databehandler er underlagt lover som kommer i konflikt med denne beskyttelsen, kan det gjøre overføring av data umulig å gjennomføre på en lovlig måte.

En annen GDPR hendelse i 2020 var at EU domstolen slo fast at generell og udifferensiert innsamling av teledata i bulk er i strid med kommunikasjonsvernsdirektivet. Det supre med dette er at den nye etterretningsloven som ble vedtatt 11. juni i år ikke kan gjennomføres i sin nåværende form.

Det høres kanskje rart ut at dette er «supert», men det er altså slik at mange har vert kritiske til denne loven fordi den åpner (litt forenklet) opp for masseovervåking.

Hvordan har Corona påvirket GDPR for SMB bedrifter?

Covid-19 har hatt en enorm påvirkning på personvernet i både små og store bedrifter over hele verden. Vi bruker nå digitale løsninger i mye større grad enn før, og GDPR har aldri vert mer aktuelt enn under denne pandemien.

Hjemmekontor byr på GDPR utfordringer

Når Norge ble «stengt ned» i mars var det mange som måtte kaste seg rundt i en stor omstilling for å klare å drifte videre. I Arribatec merket vi en enorm etterspørsel etter utstyr til hjemmekontor og webkameraer ble raskt umulig å oppdrive.

En av utfordringene ved at mange nye begynner å ta i bruk digitale hjelpemidler er at man ikke alltid ser konsekvensene av de nye arbeidsvanene. I vår var enkelte løsninger for videomøter i hardt vær etter manglende sikkerhet og personvernsregulering, noe som en gjennomsnittlig bruker ikke kan forventes å få med seg.

Smitteporing, helseopplysninger og GPDR

Der er naturligvis også konsekvenser knyttet til smittesporing og åpenheten om helseopplysninger i forbindelse med covid-19 smitte. At man i GDPR loven skiller mellom generelle personopplysninger og sensitive opplysninger (helgeopplysninger) er ofte ukjent for SMB bedrifter.

Datatilsynet er tydelig på at ikke all informasjon skal oppbevares og deles videre, selv om vi befinner oss i en pandemi. GDPR gjelder altså fortsatt, i aller høyeste grad.

Opplysninger om at noen er smittet med koronavirus er å regne som en helseopplysning og skal behandles som sensitive data i tråd med regelverket.

Opplysninger om at en person er i karantene defineres ikke som en helseopplysning, men som generell persondata. Opplysninger om at en ansatt/kunde har returnert fra et såkalt «risikoområde» eller rødt land er heller ikke å regne som en helseopplysning i følge Datatilsynet.

Vår anbefaling for å være sikker på at vi sprer riktig info vil være å til en hver tid sjekke fakta direkte hos myndighetene og datatilsynets koronaoppdatering.

Hva er GDPR reglene for besøkslister/loggføring i forbindelse med corona?

Mange bedrifter som tidligere har oppevart få personopplysninger har nå måtte registrere besøkende/gjester for å lette arbeidet med smittesporing i tilfelle smitte skulle oppstå. I den forbindelse er det viktig å minne om at lover og regler for personvern må følges, da navn, telefon nummer, e-post osv. er personopplysninger og reguleres i henhold til GDPR regelverket.

Man må fortsatt ha et gyldig behandlingsgrunnlag for denne registreringen og dette behandlingsgrunnlaget skal være dokumentert. Dersom man ikke er pålagt å gjøre dette i en forskrift, vil det være en interesseavveiing som blir det mest hensiktsmessige behandlingsgrunnlaget.

Det er viktig at man også ivaretar de andre aspektene i GDPR, som dataminimering (ikke samle inn mer enn man trenger), informasjonsplikt og behandlingssikkerhet for å nevne noen. Det skal også være dokumentert hvor lenge dere oppbevarer persondataen etter endt besøk og det må være struktur på destruering av besøkslistene i etterkant, innen rimelig tid.

Får man ettersyn av Datatilsynet må alt dette være dokumentert før man starter innsamling av besøkslister. Da gjelder det å ha kontroll på papirene sine og vite hvor alt er til en hver tid.

Hva skjer med smittesporingsapper og GDPR?

En smittesporingsapp har en potensielt stor konsekvens for personvernet. I en smittesporingsapp vil man typisk oppgi lokasjonsdata, noe som kan oppleves svært inngripende og kan sette personvern i fare ved lekkasjer. Om også helseopplysninger behandles i en slik type app, så behandler man også sensitive data som igjen er pålagt strengere krav til oppbevaring.

Det var flere problemer med Smittestopp appen som FHI lanserte i Norge tidligere i år. 15.juni.2020 stoppet FHI all innsamling av data etter varsel om forbud fra Datatilsynet.

En av grunnene til dette var at persondataene ikke ble lagret på den enkeltes enhet, men lastet opp i skyen. Dette gjorde at brukerne ikke lenger hadde kontroll over egne persondata.

I tillegg hadde Datatilsynet innsigelser på risikovurderinger på deler av løsningen og at behandlingsprotokollen hadde upresise formuleringer.

Det var også en debatt knyttet til dette som går på formålsutglidning. Det vil si faren for at data som er innsamlet brukes til nye formål når de først er samlet inn uten at man innhenter samtykke eller sørger for gyldig behandlingsgrunnlag på nytt. Dette er alle ting bedrifter må sette seg inn i dersom man driver med smittesporing basert på persondata.

Ikke all sporing bryter med GDPR

NRK skrev nylig en artikkel om hvordan bruk av bankkort, busser og mobiltelefoner avslører store forskjeller i handlingsmønster mellom byene under pandemien. Myndighetene følger nøye med på våre digitale spor for å kartlegge bevegelsene våre, men dette er anonymisert massedata og bryter derfor ikke med personvernloven.

Hva bør man ta med seg av GDPR tips og råd inn i 2021?

For den enkelte bedrift vil det viktigste å ta med seg inn i 2021 være å forstå verdien av å operere med et godt omdømme innen personvern.

Arribatec har sett at å beskytte personvernet og sette seg inn i GDPR lovverket har blitt viktigere enn noen gang. Vi bruker stadig flere plattformer og systemer hvor det er vanskelig å se hva som foregår i kulissene. Å ansvarliggjøre aktørene som behandler våre persondata er helt nødvendig.

Vi ser at brukere og kunder i større og større grad legger vekt på dette når de tar sine valg, og bedrifter som tar GDPR på alvor vil stå sterkere. Kanskje enda viktigere – de aktørene som ikke tar GDPR på alvor vil ha mye å tape og står i stor fare for å havne i trøbbel med Datatilsynet samtidig som de kan tape kunder og omdømme.

Vi ser stadig flere bedrifter i Bergen kommune som mottar kraftige bøter som de kunne ha unngått dersom de hadde vert grundigere i GDPR arbeidet sitt. Problemet er i noen tilfeller at bedriften ikke gir grunig nok opplæring til sine ansatte i rutiner og konsekvenser, som kan resultere i brukerfeil. Det er bedriftens ansvar at de ansatte kan regelverket og har kompetanse til å behandle persondata i henhold til regelverket. Et bedriftskurs i GDPR kan være veldig nyttig.

Vi anbefaler å melde seg på Datatilsynets nyhetsbrev og sjekke ut podcasten Personvenpodden. Her er det mye nyttig informasjon om det om det som rører seg innenfor GDPR verden slik at du holder deg oppdatert i 2021.

Slik gjør du GDPR overkommelig

Etter vår mening bør det være en like stor selvfølgelighet som å etterleve andre lover og regler som gjelder. Det trenger heldigvis ikke å være en uoverkommelig oppgave å etterleve personvernlovgivningen. Har man ikke begynt på denne biten har man virkelig dårlig tid, men det er aboslutt bedre å komme i gang nå enn å tenke at det er for sent.

Det gjelder å ha gode støttespillere som kan lovverket inn og ut, som kan gi nyttige råd og som holder seg oppdatert. Å ha en sparringspartner på GDPR kan spare bedriften for mye tid, penger og hodebry. I Arribatec kan vi bistå med god GDPR hjelp for små og store bedrifter. Ta kontakt med oss for pristilbud og få hjelp fra vår Certified Data Protection Office, Thomas Wiik, med kartlegging, dokumentering og vedlikehold.