Det er snart et og et halvt år siden GDPR ble en del av den norske personopplysningsloven. Før det skjedde, var det nok mange som lurte på hva som ville bli konsekvensene av de nye reglene. 2019 har vist oss noe. Millionbøter, klager på bestemmelsesbrudd og mange GDPR-kontroller, både her hjemme og i utlandet. Vi må være forberedt på at EUs personvernforordning vil prege det nye året også. Da kan det være greit å ha noenlunde oversikt over hva som er personopplysninger og andre sensitive data. Har din virksomhet det?
GDPR skal hindre at personopplysninger kommer på avveie. Det krever blant annet at virksomheter har sikre sletterutiner. Uten slike rutiner kan man få bot selv om opplysningene ikke har kommet på avveie. Det viser en kjennelse fra Tyskland. Der har et eiendomsselskap blitt ilagt en bot på 150 millioner for ikke å ha slettet personopplysninger som de i henhold til GDPR skulle slettet. Boten ble ilagt selv om opplysningene ikke hadde kommet uvedkommende i hende eller blitt misbrukt. Rutinene var ikke gode nok.
Selv om det ikke medfører bøter om annen sensitiv informasjon kommer på avveie, kan det bli kostbart for virksomheter hvis det skjer. Resultatet kan bli tap av omdømme og svekket konkurranseevne.
En grunnleggende forutsetningen for å unngå dramatiske konsekvenser, er å ha oversikt over hva som er personopplysninger og sensitive data. Og husk at disse finnes papirdokumenter i tillegg til PCer og andre digitale lagringsmedier. Sletterutiner må finnes for begge deler.
Personnumre og identifikasjonsopplysninger
Personopplysningsloven definerer personopplysninger som opplysninger eller vurderinger som kan knyttes direkte til en person. Det mest typiske eksemplet på det er personnummeret vårt. Andre eksempler er navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, fingeravtrykk, irismønster og hodeform (for ansiktgjenkjenning).
Loven skiller mellom vanlige og sensitive personopplysninger. De fleste vil kanskje anta at fødselsdato og personnummer hører med til sensitiv informasjon. Det er ikke tilfelle. Fødselsnumre og andre identifikasjonsnumre omfattes ikke av reglene for særlige kategorier av personopplysninger. Bruk av identifikasjonsnumre reguleres av de alminnelige reglene for behandling.
Fødselsnummer kan likevel ikke lagres og behandles fritt. I den forrige personopplysningsloven var det en bestemmelse om at fødselsnummer og andre entydige identifikasjonsmidler bare kan benyttes når det foreligger saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering. Ansettelsesforhold kan være en begrunnelse for slik bruk av opplysningene. Denne regelen finnes ikke i GDPR. Likevel er den særnorske bestemmelsen videreført i den nye loven.
Sensitive personopplysninger
GDPR og ny lov stiller særlige krav til hvordan sensitive personopplysninger skal behandles. Som sensitive opplysninger regnes
- rasemessig eller etnisk bakgrunn
- politisk, filosofisk eller religiøs oppfatning
- at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling
- helseforhold
- seksuelle forhold
- medlemskap i fagforeninger
Det kan også være slik at opplysninger som hver for seg ikke regnes som sensitive, blir det når flere av dem finnes i samme dokument.
Annen sensitiv informasjon
Virksomheter behandler mye annen sensitiv informasjon, som det er viktig at de har gode beskyttelsesrutiner for. Kommer disse på avveie, kan det være skadelig og i verste fall ødeleggende for bedriften.
Hvordan behandler dere dokumenter med slik informasjon i dag? Er det en risiko for at de havner i papirkurven? Da kan de fort havne i hendene på uvedkommende som kan misbruke dem.
Hva gjør dere med gamle PCer som ikke lenger er i bruk? Uten sikker sletting av data på dem, kan sensitiv informasjon komme på avveie.
Hva som er slik sensitiv informasjon som trenger gode sikkerhetsrutiner, må den enkelte virksomhet selv vurdere. Men det vil blant annet være informasjon om konkurranseforhold – både egne og kunders - regnskapsopplysninger, anbudsdokumenter, fakturaer, kundelister, kundenumre, fakturadato, fakturanummer og ordrenummer.
Når man lager rutiner for sletting av personopplysninger, vil det derfor være naturlig at de rutinene også skal gjelde for andre sensitive data. Makulering ved kverning vil da være en enkel og sikker metode for sletting av informasjon i både papirdokumenter og PCer.
Vi har laget en gratis sjekkliste, som kan være nyttig hvis dere ønsker å ta en ny gjennomgang av rutinene for å være sikre på at GDPR-kravene oppfylles.