KjøpLogg inn
Publisert 5. jan. 2020 kl. 22.15
Lesetid: 3 minutter
Artikkellengde er 534 ord
PERSONVERN: Nå er det snaut to år siden GDPR, EUs personvernlov, trådte i kraft, og mange virksomheter har fått på plass interne regler for lovlig innhenting og bruk av personopplysninger. Foto: Dreamstime

Datasikkerhet i 2020

GDPR-etterlevelse er krevende. Teknologien endrer seg raskere, mer data behandles for kritiske formål og sikkerhetstruslene øker, skriver Kristin Haram Førde.

Nå er det snaut to år siden GDPR trådte i kraft. Mange virksomheter har fått på plass interne regler for lovlig innhenting og bruk av personopplysninger. De beste informerer og respekterer de registrertes rettigheter. Men GDPR-etterlevelse er krevende, fordi etterlevelse er ferskvare. Teknologien endrer seg raskere, mer data behandles for kritiske formål og sikkerhetstruslene øker. Det er spesielt tre områder som er viktige for etterlevelse av GDPR.

1. Kunnskap og forståelse

Norske virksomheter tar i bruk ny teknologi og benytter seg av store mengder data for å tilpasse og levere tjenester og skape verdier. Data er verdifullt. Verdien vil øke fokuset på selve forvaltningen av dataene. God forvaltning krever forståelse av personvernprinsippene, reglene, etiske problemstillinger og teknologi. For digitalisering muliggjør tilgang til mer data, og igjen muligheter for å profilere, overvåke, sette sammen og spre data. Kompleksiteten i leverandørkjeden øker med flere ledd, data lagres i skyen, tilgangene gjøres fra flere jurisdiksjoner. Hvem har ansvaret for innhentingen av, bruken og lagringen av dataene? Hvordan skal formålet rettferdiggjøre bruken av dataene? Er sikkerheten god nok?

Kristin Haram Førde. Foto: Bull & Co Advokatfirma

Vi personvernadvokater opplever at manglende kunnskap om disse problemstillingene hindrer etterlevelse. Særlig fordi kunnskap mangler ikke bare nedover i rekkene, men også i ledelsen og i styrene. For å ha et forsvarlig beslutningsgrunnlag, må ledelsen og styret skaffe tilgang på kunnskap om personvern, risiko og IT-sikkerhet.

Konsekvensene av et databrudd må forstås. Tiltak er compliance-trening generelt, personvernopplæring spesielt, beredskapsøvelser, for både ledere og organisasjonen. Målet er at gode beslutninger blir tatt og nedsatt risiko for menneskelig svikt.

2. Datasikkerhet og risikovurderinger

Samtlige av de første GDPR-sakene i Norge har dreiet seg om sviktende IT-sikkerhet. Manglende IT-sikkerhet vil fortsatt være den største utfordringen i 2020. GDPR er sikkerhetsdrevet, og stiller krav om et «sikkerhetsnivå som er egnet med hensyn til risikoen». Det er utfordrende å vite hva som er «egnet» – det eneste som er sikkert er at «egnet» nok vil tolkes strengere i 2020, enn i 2019.

2020 vil preges av nye og forsterkede trusler. Angriperne vil få langt større muskler. Mer data gir økte muligheter for misbruk av disse. 5G vil muliggjøre tilkobling av enda flere dingser, og slik øke sårbarheten ytterligere. Med IoT kobles flere enheter til internett – alt fra digitale nøkkelsett, smarte hus, biometrisk adgangskontroll, helseteknologi, biler og kraftverk kobles til internett. Dessverre mangler mange av produsentene av disse tingene erfaring, fokus og økonomi til å bygge sikre løsninger.

Med en så sammensatt risikosituasjon er det utfordrende å gjøre sikkerhetsvurderinger og vurdere personvernet. Tiltak er å studere risikoområdene, sørge for ledelsesfokus og bringe inn de ansatte i arbeidet med å forstå, redusere og håndtere risikoen.

3. Kontinuerlig etterlevelse

De to foregående årenes GDPR-fokus handlet først og fremst om å innhente data på lovlig måte, sørge for dataminimering og informasjon, og ivareta de registrertes rettigheter. Digitalisering, ny teknologi og større datamengder krever økt fokus på selve forvaltningen av data. For både kunder og tilsynsmyndigheter betyr dette fokus på IT-sikkerhet, og faktisk bruk av personopplysninger. Dermed vil fokuset på forvaltningen av data i 2020 overgå fokuset på innhenting av data. Med forsvarlig forvaltning av all data er virksomhetene nærmere kontinuerlig etterlevelse av GDPR og sikring av også ikke-personlige data.

Kristin Haram Førde

Partner og advokat i Bull & Co Advokatfirma