Personvern – et reelt konkurranse­parameter

Av: advokat Claude A. Lenth, advokatfirmaet Hjort

Da jeg mot slutten av 1990-tallet var vit.ass. ved det tidligere Institutt for Rettsinformatikk, snublet jeg, noe tilfeldig må jeg innrømme, over personvern som tema for studentavhandlingen min. Det hjalp nok også litt for valg av tema at jeg hadde jusprofessor Knut S.  Selmer som veileder og at Jon Bing var instituttbestyrer. Det har uansett ført til at personvernjussen har blitt en viktig del av min advokatvirksomhet i Hjort.

Når jeg er blitt spurt om å skrive noen ord om hvilke utfordringer jeg ser innenfor personvernfeltet i dag, er det naturlig å ta utgangspunkt i de erfaringene jeg har gjort meg som rådgiver for bedrifter, organisasjoner og offentlige organer siden starten på 2000 tallet.

Denne artikkelen stod på trykk i Juristens temautgave om personvern. Les flere av sakene her

De grunnleggende kravene til behandling av personopplysninger har siden vi fikk den forrige personopplysningsloven i 2000, stort sett vært uforandret. Den store hypen rundt personvern som man fikk med innføringen av GDPR i 2018, kunne på det tidspunktet gi inntrykk av at bransjen stod overfor en regelrevolusjon, og det ble samtidig nærmest trendy å være personvernadvokat. Virkeligheten er den at GDPR for Norges del, stort sett viderefører rettstilstanden fra den forrige personopplysningsloven som igjen bygget på EUs personverndirektiv fra 1995. GDPR innebærer, slik jeg ser det, først og fremst en styrking av de registrertes rettigheter, skjerpede krav til dokumentasjons- og konsekvensvurderinger som erstatter tidligere konsesjons- og meldeplikt, en plikt til å ha personvernombud for offentlig myndigheter og for visse private behandlingsansvarlige, og ikke minst en større sanksjonsrisiko for virksomheter som ikke overholder regelverket.

Den største utviklingen i de årene jeg har praktisert som advokat, har mer vært knyttet til den mengden personopplysninger som behandles, og hvordan personvernregelverket som følge av dette er blitt relevant for nær sagt alle samfunnsområder. Digitalisering og ny teknologi har gjort at personvernregelverket kommer til anvendelse på mye av det vi gjør både i jobb og privat. Pandemien som over natten nærmest lærte alle og enhver å arrangere videomøter og å jobbe online hjemmefra med den største selvfølgelighet, har også bidratt til økt behandling av personopplysninger. Ikke minst har de siste tiårs utbredelse av sosiale medier, antall brukere, og fremveksten av «big data», gjort at personvern (eller muligens mangel på det vil noen si) har fått en fremtredende plass i alles hverdag.

I takt med digitaliseringen av samfunnet, erfarer vi at personvernrelaterte problemstillinger dukker opp i stadig flere typer saker og områder. Det kan være håndtering av ansatte- og kundeopplysninger, IT-kontrakter, avtaleforhandlinger, utvikling av nye tjenester, personopplysninger i tvistesaker, granskninger, med mere. Etterlevelse av personvernreglene er i dag derfor relevant for svært mange fag- og markedsområder. Personvern er tilsvarende blitt en selvfølgelig del av den rådgivningen vi gir til våre klienter uavhengig av øvrige fagområder og bransjespesifikk rammelovgivning, og uavhengig av om vi bistår virksomheter innenfor næringsliv eller offentlig sektor. Vi i Hjort har derfor valgt å sette sammen et tverrfaglig personvernteam som speiler dette.

De grunnleggende prinsippene for behandling av personopplysninger som har ligget fast siden 2000, har etter min mening holdt seg overraskende godt og har latt seg tilpasse den teknologiske og markedsmessige utviklingen. Selv om personvernlovgivningen for mange nok fortsatt vil fremstå som relativt teknisk og til dels uoversiktlig, og lovgivningen av natur ofte vil ha en tendens til å henge litt etter markedsutviklingen både ift. ny teknologi og nye tjenester, er det ikke først og fremst regelverket som, etter min mening, er den største utfordringen.

Den største utfordringen jeg ser for personvern i dag er den samme som vi så på begynnelsen av 2000-tallet. Mange norske bedrifter, organisasjoner og offentlige virksomheter har fortsatt ikke et tilstrekkelig bevisst forhold til personvernlovgivningen.

I forbindelse med innføringen av GDPR i 2018, var mange flinke til å kartlegge dataflyten internt og foreta risikovurderinger. De aller fleste fikk også på plass oppdaterte rutiner for lagring og sletting, og det ble nærmest pumpet ut personvernerklæringer og samtykkeerklæringer til ulike mottakere og i ulike fasonger. Det var nok mange av oss som ikke var bevisst hvor mange «kunderegistre» vi var registrert i den gangen.

Som rådgivere erfarer vi fortsatt at enkelte virksomheter ikke oppdaterer sine systemer for ivaretakelse av personvernet i takt med virksomhetenes utvikling. Vi ser at dette ofte skyldes en kombinasjon av prioriteringer grunnet manglende kunnskap og bevissthet internt. Alt for mange virksomheter mangler rett og slett gode nok rutiner til å sørge for at internkontrollsystemer og risikovurderinger blir oppdatert. Det holder ikke å ha gjort en GDPR-sjau for noen år siden for så lene seg tilbake i den tro at alt dermed er i orden. Da risikerer man fort å oppleve å få ubehagelige overraskelser, eksempelvis hvis det skjer et brudd på personopplysningssikkerheten, og virksomheten har 72 timer på seg til å melde fra til Datatilsynet. Virksomheter kan også oppleve tap av kommersielle posisjoner fordi man på grunn av manglende rutiner eller etterlevelse av grunnleggende personvernregler, likevel ikke har rett til å bruke kundeopplysninger slik man så for seg. Undersøkelser tyder også på at manglende etterlevelse av personvernlovgivningen utgjør en stadig større omdømmerisiko for virksomheter.

Etterlevelse av personvernlovgivningen er først og fremst et lederansvar. Slik etterlevelse krever at man investerer i opplæring av både ledelse og ansatte i hele organisasjonen, og at virksomheten øver på avvikshåndtering. Uten tilstrekkelig kunnskap om regelverk eller interne retningslinjer, blir det naturlig nok vanskeligere å lede og dermed etterleve personvernlovgivningen. Det må også etableres et styringssystem internt som bidrar til at man fortsetter å etterleve de rettighetene og forpliktelsene som følger av lovverket etter hvert som virksomheten utvikler seg. Det er dessuten et særskilt krav i personvernforordningen at den behandlingsansvarlige skal «gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordningen».

Oppskriften på metode og system har vært kjent siden forrige personopplysningslov med forskrifter ble vedtatt i 2000, og det er også mye veiledning å hente fra Datatilsynet og fra andre rådgivere for den som ønsker det. Opplæring og kunnskap satt i system er på mange måter nøkkelen til å ivareta personvernet og samtidig bidra til at virksomhetene etterlever personvernlovgivningen.

Dette høres selvfølgelig ut, men like fullt er det ofte her vi opplever at virksomhetene har mest å hente.

I tillegg til bedre etterlevelse av personvernlovgivningen, vil et godt internkontrollsystem for mange også være et viktig argument når man skal markedsføre egne tjenester, finne nye samarbeidspartnere og ikke minst skape og sikre verdier. Personvern er ikke lenger bare et spørsmål om etterlevelse, men også et reelt konkurranseparameter.