Personvern – et reelt konkurranseparameter
Dagens største utfordring for personvernet er fortsatt at mange norske bedrifter, organisasjoner og offentlige virksomheter ikke har et tilstrekkelig bevisst forhold til personvernlovgivningen, skriver advokat Claude A. Lenth.
Av: advokat Claude A. Lenth, advokatfirmaet Hjort
Da jeg mot slutten av 1990-tallet var vit.ass. ved det tidligere Institutt for Rettsinformatikk, snublet jeg, noe tilfeldig må jeg innrømme, over personvern som tema for studentavhandlingen min. Det hjalp nok også litt for valg av tema at jeg hadde jusprofessor Knut S. Selmer som veileder og at Jon Bing var instituttbestyrer. Det har uansett ført til at personvernjussen har blitt en viktig del av min advokatvirksomhet i Hjort.
Når jeg er blitt spurt om å skrive noen ord om hvilke utfordringer jeg ser innenfor personvernfeltet i dag, er det naturlig å ta utgangspunkt i de erfaringene jeg har gjort meg som rådgiver for bedrifter, organisasjoner og offentlige organer siden starten på 2000 tallet.
Denne artikkelen stod på trykk i Juristens temautgave om personvern. Les flere av sakene her
De grunnleggende kravene til behandling av personopplysninger har siden vi fikk den forrige personopplysningsloven i 2000, stort sett vært uforandret. Den store hypen rundt personvern som man fikk med innføringen av GDPR i 2018, kunne på det tidspunktet gi inntrykk av at bransjen stod overfor en regelrevolusjon, og det ble samtidig nærmest trendy å være personvernadvokat. Virkeligheten er den at GDPR for Norges del, stort sett viderefører rettstilstanden fra den forrige personopplysningsloven som igjen bygget på EUs personverndirektiv fra 1995. GDPR innebærer, slik jeg ser det, først og fremst en styrking av de registrertes rettigheter, skjerpede krav til dokumentasjons- og konsekvensvurderinger som erstatter tidligere konsesjons- og meldeplikt, en plikt til å ha personvernombud for offentlig myndigheter og for visse private behandlingsansvarlige, og ikke minst en større sanksjonsrisiko for virksomheter som ikke overholder regelverket.
Den største utviklingen i de årene jeg har praktisert som advokat, har mer vært knyttet til den mengden personopplysninger som behandles, og hvordan personvernregelverket som følge av dette er blitt relevant for nær sagt alle samfunnsområder. Digitalisering og ny teknologi har gjort at personvernregelverket kommer til anvendelse på mye av det vi gjør både i jobb og privat. Pandemien som over natten nærmest lærte alle og enhver å arrangere videomøter og å jobbe online hjemmefra med den største selvfølgelighet, har også bidratt til økt behandling av personopplysninger. Ikke minst har de siste tiårs utbredelse av sosiale medier, antall brukere, og fremveksten av «big data», gjort at personvern (eller muligens mangel på det vil noen si) har fått en fremtredende plass i alles hverdag.
I takt med digitaliseringen av samfunnet, erfarer vi at personvernrelaterte problemstillinger dukker opp i stadig flere typer saker og områder. Det kan være håndtering av ansatte- og kundeopplysninger, IT-kontrakter, avtaleforhandlinger, utvikling av nye tjenester, personopplysninger i tvistesaker, granskninger, med mere. Etterlevelse av personvernreglene er i dag derfor relevant for svært mange fag- og markedsområder. Personvern er tilsvarende blitt en selvfølgelig del av den rådgivningen vi gir til våre klienter uavhengig av øvrige fagområder og bransjespesifikk rammelovgivning, og uavhengig av om vi bistår virksomheter innenfor næringsliv eller offentlig sektor. Vi i Hjort har derfor valgt å sette sammen et tverrfaglig personvernteam som speiler dette.
De grunnleggende prinsippene for behandling av personopplysninger som har ligget fast siden 2000, har etter min mening holdt seg overraskende godt og har latt seg tilpasse den teknologiske og markedsmessige utviklingen. Selv om personvernlovgivningen for mange nok fortsatt vil fremstå som relativt teknisk og til dels uoversiktlig, og lovgivningen av natur ofte vil ha en tendens til å henge litt etter markedsutviklingen både ift. ny teknologi og nye tjenester, er det ikke først og fremst regelverket som, etter min mening, er den største utfordringen.
Den største utfordringen jeg ser for personvern i dag er den samme som vi så på begynnelsen av 2000-tallet. Mange norske bedrifter, organisasjoner og offentlige virksomheter har fortsatt ikke et tilstrekkelig bevisst forhold til personvernlovgivningen.
I forbindelse med innføringen av GDPR i 2018, var mange flinke til å kartlegge dataflyten internt og foreta risikovurderinger. De aller fleste fikk også på plass oppdaterte rutiner for lagring og sletting, og det ble nærmest pumpet ut personvernerklæringer og samtykkeerklæringer til ulike mottakere og i ulike fasonger. Det var nok mange av oss som ikke var bevisst hvor mange «kunderegistre» vi var registrert i den gangen.
Som rådgivere erfarer vi fortsatt at enkelte virksomheter ikke oppdaterer sine systemer for ivaretakelse av personvernet i takt med virksomhetenes utvikling. Vi ser at dette ofte skyldes en kombinasjon av prioriteringer grunnet manglende kunnskap og bevissthet internt. Alt for mange virksomheter mangler rett og slett gode nok rutiner til å sørge for at internkontrollsystemer og risikovurderinger blir oppdatert. Det holder ikke å ha gjort en GDPR-sjau for noen år siden for så lene seg tilbake i den tro at alt dermed er i orden. Da risikerer man fort å oppleve å få ubehagelige overraskelser, eksempelvis hvis det skjer et brudd på personopplysningssikkerheten, og virksomheten har 72 timer på seg til å melde fra til Datatilsynet. Virksomheter kan også oppleve tap av kommersielle posisjoner fordi man på grunn av manglende rutiner eller etterlevelse av grunnleggende personvernregler, likevel ikke har rett til å bruke kundeopplysninger slik man så for seg. Undersøkelser tyder også på at manglende etterlevelse av personvernlovgivningen utgjør en stadig større omdømmerisiko for virksomheter.
Etterlevelse av personvernlovgivningen er først og fremst et lederansvar. Slik etterlevelse krever at man investerer i opplæring av både ledelse og ansatte i hele organisasjonen, og at virksomheten øver på avvikshåndtering. Uten tilstrekkelig kunnskap om regelverk eller interne retningslinjer, blir det naturlig nok vanskeligere å lede og dermed etterleve personvernlovgivningen. Det må også etableres et styringssystem internt som bidrar til at man fortsetter å etterleve de rettighetene og forpliktelsene som følger av lovverket etter hvert som virksomheten utvikler seg. Det er dessuten et særskilt krav i personvernforordningen at den behandlingsansvarlige skal «gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordningen».
Oppskriften på metode og system har vært kjent siden forrige personopplysningslov med forskrifter ble vedtatt i 2000, og det er også mye veiledning å hente fra Datatilsynet og fra andre rådgivere for den som ønsker det. Opplæring og kunnskap satt i system er på mange måter nøkkelen til å ivareta personvernet og samtidig bidra til at virksomhetene etterlever personvernlovgivningen.
Dette høres selvfølgelig ut, men like fullt er det ofte her vi opplever at virksomhetene har mest å hente.
I tillegg til bedre etterlevelse av personvernlovgivningen, vil et godt internkontrollsystem for mange også være et viktig argument når man skal markedsføre egne tjenester, finne nye samarbeidspartnere og ikke minst skape og sikre verdier. Personvern er ikke lenger bare et spørsmål om etterlevelse, men også et reelt konkurranseparameter.
Ledige stillinger:
Jurister og Twitter-rivaler med satire som «våpen»
Kan en tingrettsdommer og en politiadvokat bruke Twitter som ytringsfrihetsarena? Svaret er et rungende JA fra Kim Heger og Hans Vang. Men med klare forbehold. Satirisk humor med samfunnskritisk brodd er ok. Tvitring fra saker de jobber med som jurister - det er fy.
Avdekket åtte års ventetid på svar om familieinnvandring
Sivilombudet har bedt Justis- og beredskapsdepartementet holde ombudet løpende orientert om hva departementet foretar seg for å sikre en mer effektiv behandling av søknader i familieinnvandringssaker.
Sommerpraten: Professor Christina Voigt
Jusprofessor Christina Voigt prøver å få unna administrative oppgaver så hun kan jobbe med skriving - i ferien.
Noen betraktninger rundt begrepet grunnleggende og en statsmakt som slår seg selv på munnen
Lovgivende og utøvende statsmakt slår seg selv på munnen når de forvrenger meningsinnholdet av begrepet grunnleggende som sentral byggestein i vår rettspleie. De devaluerer Grunnloven ved å gjøre Lov til ulov og ulov til lov, skriver professor Jarle Aarstad.
Ubetinget fengselsstraff gjør at færre unge begår ny kriminalitet
Bruk av ubetinget fengselsstraff overfor lovbrytere i alderen 18-24 år reduserer sannsynligheten for tilbakefall med hele 30 prosent over en femårsperiode etter avsagt dom. Dette oppsiktsvekkende funnet er ett av flere som fremkommer i en ny analyse av barne- og ungdomskriminalitet, utført på oppdrag for Justisdepartementet.
- Respekt for andre fagfelt er viktig
Tore Killingland kritiserer NIM for å følge opp en plenumsdom fra Høyesterett om tolkningen av en bestemmelse i Grunnlovens menneskerettighetskapittel. Kritikken er formulert som «ydmyke 10 bud fra en ikke-jurist». NIM imøteser selvsagt faglig uenighet og kritikk. Men kritikken fra Killingland er etter vårt syn lite treffende, skriver Jenny Sandvig og Hannah Brænden.
Gir næringslivet hjelp til å gjenkjenne korrupsjon
Økokrim lanserer en liste over indikatorer på korrupsjon som skal hjelpe andre aktører å gjenkjenne slike lovbrudd. Hensikten er å gjøre virksomheter bedre i stand til å forebygge og avdekke denne kriminalitetsformen som ofte er kompleks og krevende å oppdage.
Tiltalt kastet lommebok i ansiktet på tingrettsdommer
Hendelsen skjedde i forbindelse med at tiltalte skulle vise ID til dommeren.
– Fått et tydelig inntrykk av at politiet i Oslo ikke ønsker en kvitteringsordning
Juristforbundets inkluderingsutvalg ber Oslos politimester om avklaringer for å fortsette i arbeidsgruppe som ser på tiltak for å forebygge at politikontroller kan oppleves som diskriminerende.
Starter opp med master i akutt rettsmedisin: – I rettsmedisin møtes jussen og medisinen
– Det handler om å kunne gjøre en sporsikring og skadedokumentasjon av god kvalitet slik at den kan benyttes av politiet og rettsvesen, sier professor Kjersti Alsaker ved Høgskulen på Vestlandet.
Statsforvalterstrukturen er til utredning: Skal statsforvalterstrukturen følge fylkesstrukturen?
Spørsmålet påvirker rundt 250 jurister og mange kjenner på usikkerhet.
Jurister på glattisen i andre fagområder - Grunnlovens § 112 og klimakrav
Her er ydmyke 10 bud fra en ikke-jurist med lang erfaring fra forvaltning og klimaarbeid, skriver klimarådgiver Tore Killingland.
- Det opplevdes som at jeg ikke lenger var god nok for Norge
Den jusutdannede toppdiplomaten Olav Myklebust ble fratatt sikkerhetsklarering og mistet jobben som ambassadør for Norge fordi han etablerte et forhold med en thailandsk kjæreste.
Riksrevisjonen: Offentlig ansatte usikre på når plikten til å avverge straffbare handlinger gjelder
Riksrevisjonen retter alvorlig kritikk av myndighetenes innsats når det gjelder vold i nære relasjoner. Det er risiko for at voldsutsatte ikke får den hjelpen de trenger, mener de.