Fra denne datoen får altså alle norske virksomheter nye plikter, som innebærer et langt større ansvar for å være i samsvar med nye og gamle personvernregler enn tidligere.
Ny EU-forordning
Bakgrunnen er innføringen av en ny EU-forordning som har fått navnet General Data Protection Regulation (GDPR). Forordningen går kort fortalt ut på å sikre at opplysninger om privatpersoner ikke kommer på avveie, og at det er en gjennomtenkt plan i virksomheten på hvordan personvern håndteres.
Den nye forordningen innebærer blant annet et større krav til dokumentasjon av IT-systemer og sikkerhetsløsninger. EU har funnet det hensiktsmessig å innføre en ordning med bøter som «svir» for å sørge for en preventiv effekt.
Her er hovedlinjene i de nye personvernreglene:
- Alle skal ha en forståelig personvernerklæring (nedskrevne rutiner).
- Mange virksomheter må opprette eget personvernombud.
- Organisasjonen må identifisere hva slags type data de har, og hvordan den oppbevares.
- Virksomheten må ha tilfredsstillende IT-sikkerhet som forhindrer tilgang for uvedkommende.
- Nye krav til avvikshåndtering: Alle alvorlige sikkerhetsbrudd må være rapportert til Datatilsynet innen 72 timer, samt til berørte parter uten forsinkelse.
- Virksomheter skal opplyse den som blir registrert om hvilke personopplysninger de samler inn og hvordan de skal brukes. Loven krever at dette skal forklares på en forståelig måte.
- Enklere tilgang og kontroll over egne data som virksomheten har om den enkelte. Retten til dataportabilitet: en bruker har krav på å få utlevert alle opplysninger de har avgitt til en tjeneste og til få dem overført til en annen tjeneste.
- Rett til å «bli glemt», sletting av personopplysninger.
- Rett til å motsette seg automatiserte beslutninger og rett til forklaring.
- Bøter på inntil 20 millioner euro, eller fire prosent av omsetningen.
- Hjemmel om kompensasjon til skadelidt for ikke-økonomisk tap, dvs. en slags «tort og svie»-kompensasjon.
Forholdet til cyberforsikring
Bøter kan i utgangspunktet være dekket på en cyberforsikring, men kun hvis det er lovlig adgang til å forsikre seg mot disse. Straffebøter er ment å ha en preventiv effekt, og den mister man hvis man kan forsikre seg mot straffereaksjonen.
Skulle man være så uheldig å få personopplysninger på avveie etter et hackerangrep, kan imidlertid cyberforsikringen og den øyeblikkelige profesjonelle hjelpen forhindre spredning av opplysningene.
Å ha cyberforsikring vil derfor kunne påvirke størrelsen på straffeboten, skulle Datatilsynet komme til at IT-sikkerheten var for dårlig i utgangspunktet.