Her skal du få to argumenter som bør overbevise deg om det er rasjonelt å tenke personvern fra start:
- Har du prøvd å putte majonesen tilbake i tuben? Du trenger neppe å utføre eksperimentet for å vite at det er langt mer hensiktsmessig å gjøre det riktig fra start.
- Penger brukt på feil fokus kan ikke brukes om igjen.
Sikre kvalitet fra start
Ivaretakelse av personvern og IT-sikkerhet kan virke både skremmende og overveldende for den som starter opp en ny virksomhet. I denne artikkelen guider jeg deg gjennom hva du bør sikre som minimum rundt personvern og IT-sikkerhet allerede fra start. Det handler om å sørge for at produktet:
- ivaretar personvernperspektivet fra første stund,
- bygge inn god og robust sikkerhet,
- og tenke ut en plan «b» når noe plutselig ikke virker.
Dette gjelder både på teknologisk og organisatorisk nivå. Med andre ord må tankegangen forankres løpende i organisasjonen etter hvert som den vokser!
Så når bør du begynne å tenke på personvern i din virksomhet?
Riktig svar er: Umiddelbart! Og gjorde du det ikke ved oppstart – så begynn nå!
Hva er personvern?
Artikkelserie:
GDPR i praksis
I en serie artikler vil Erik Horn gi deg praktisk veiledning i GDPR.
• Derfor skal oppstartsselskaper inkludere personvern helt fra start (denne artikkelen)
• Personvern og IT-sikkerhet i praksis
Personvern er retten til å ha kontroll over egne personopplysninger og hvordan disse brukes. Det innebærer å kunne bestemme hvem som får tilgang til opplysninger om en selv, og å kunne motsette seg uønsket bruk. Personvern handler også om å kunne leve uten frykt for overvåkning eller misbruk av ens personlige data. Grunnleggende for personvern er at den enkeltes integritet og menneskeverd respekteres ved behandling av personopplysninger.
Personvern og risiko
Beskyttelsesverdige data: Beskyttelsesverdige personopplysninger er persondata som, dersom de kommer på avveie eller misbrukes, kan medføre integritetskrenkelse, identitetstyveri eller annen vesentlig ulempe for den registrerte. Dette kan gjelde enhver type personopplysning så lenge informasjonen alene, eller sammen med annen tilgjengelig informasjon, kan knyttes til en enkeltperson på en måte som er egnet til å skade personen. Eksempler er personnummer, helseopplysninger, Bank-ID data, og andre data som kan gjøre det mulig å utgi seg for å være noen andre. Også tilsynelatende harmløs informasjon kan være beskyttelsesverdig avhengig av sammenhengen. Et eksempel er navn og telefonnummer hvis det er på en liste over kandidater for en utlyst topplederstilling. En slik liste på avveie kan være ødeleggende for kandidatene som ikke fikk jobben.
Sikre din investering: En oppstartsvirksomhet som har glemt personvern i designet, kan få store praktiske problemer når dette skal implementeres i etterkant. Dette kan kreve omfattende endringer i systemer, rutiner og tankesett. Det vil ta tid, gå utover driften, og kan bli svært kostbart. Alt dette kunne vært unngått ved å tenke riktig rundt personvern fra start.
Personvern blir aldri bedre enn det svakeste ledd, så sørg for at slik læring løpende blir delt og inkludert i alle deler av bedriften, tilsvarende andre KPIér og mål.
Identifisere omfang (kartlegge)
Grundig kartlegging av alle personopplysninger som samles inn er helt essensielt i startfasen. Dette innebærer å besvare spørsmål som:
Hvilke personopplysninger ønsker dere å samle inn?
Dette kan være alt fra navn, epost, telefonnummer til IP-adresser, lokasjonsdata, kjøpshistorikk etc. Lag en detaljert oversikt over alle kategorier persondata som behandles. Jo flere detaljer, desto bedre. Og vær spesielt oppmerksom på særlige kategorier som helseinformasjon, seksuell legning, politisk eller religiøs overbevisning, eller om noe grenser til dette.
Vær også oppmerksom på at enkelte data kan være smart å beskytte ekstra. Dette er data hvis de ut ifra sammenhengen kan være dramatisk eller ødeleggende for individet hvis de kommer på avveie. Her kan du med fordel forsøke og sette deg selv inn i posisjonen – og tenke hvordan du selv vil reagere.
Hvordan samles dataene inn?
Kartlegg nøyaktig hvilke systemer og tekniske løsninger som benyttes til å samle inn, lagre og behandle persondata. Er det snakk om database, nettside, app, sensorer? Hvordan sikres og begrenses tilgangen?
Her må det også avklares hvem det er som samler det inn? Er det dere selv, eller er det andre?
Hvis det er andre, samles det inn konkret for dere – og med klare instrukser fra dere, og ditto kontroll?
Eller kjøper dere data? Hvis så, hvordan sikrer dere at disse er lovlig samlet inn, og hvordan deres bruk av slike data er i tråd med det opprinnelige formål disse data ble samlet inn?
Og, hvor og hvordan lagrer dere de innsamlede data? På egen dedikert server, eller hos andre? I skyen, i EØS, eller mer eksotiske steder?
Hva er formålet med innsamlingen?
All behandling av personopplysninger krever et definert formål. Dette kan være levering av tjenester, markedsføring, profilering etc. Formålet må være saklig begrunnet i virksomhetens tjenester. Det juridiske grunnlaget for behandlingen må også kartlegges nøye.
Og, slik jeg nevnte i forrige avsnitt: Hvis dere vurderer å bruke data dere eller andre allerede har – vil slik bruk være i tråd med det formål som gjaldt på innsamlingstidspunktet?
Hva kan dataene brukes til i fremtiden?
FAKTA: Hva er «lovlig behandlings-grunnlag»?
Å identifisere og dokumentere det rettslige grunnlaget for alle former for behandling av persondata er helt sentralt for å sikre etterlevelse av GDPR.
For å kunne behandle personopplysninger lovlig, må man ha et gyldig behandlingsgrunnlag. GDPR lister opp 6 mulige behandlingsgrunnlag i artikkel 6:
- Samtykke fra den registrerte
- Nødvendig for kontrakt
- Nødvendig for å oppfylle juridisk forpliktelse
- Beskytte vitale interesser
- Utføre en oppgave i allmennhetens interesse
- Nødvendig for formål knyttet til berettiget interesse
Virksomheten må altså ha et av disse gyldige grunnlagene for å kunne samle inn og bruke personopplysninger. Hvis ikke må behandlingen stanses. Ofte er berettiget interesse eller kontrakt de viktigste grunnlagene. Samtykke blir ofte brukt, men er ikke å foretrekke – da det lett kan trekkes tilbake.
Vurder også om noen av opplysningene kan få ytterligere bruksområder senere. Planer om analyse, deling eller salg av data til andre formål må fanges opp allerede her. Dette vil påvirke hvordan lovlig behandlingsgrunnlag defineres. Også evt. hvordan samtykker skal administreres hvis andre lovlige grunnlag ikke finnes?
Veien videre
Vi har nå etablert fundamentet for personvern i oppstartsselskaper og forstått hvor viktig det er og hvorfor. Men å kjenne til prinsippene er bare første skritt. I de neste artiklene skal vi ta steget videre og utforske de mer komplekse aspektene ved personvern:
Hvordan henger personvern og sikkerhet uløselig sammen? Hva innebærer en effektiv beredskapsplan, og hvorfor er den kritisk for enhver virksomhet?
Og til sist, men ikke minst, hvordan kan du bygge en robust kultur som ikke bare respekterer, men aktivt beskytter personopplysninger?
Disse spørsmålene er avgjørende, og svarene kan være forskjellen mellom suksess og fiasko i et stadig mer datadrevet næringsliv.
Er du medlem av tilt.work kan du laste ned dokumentet «Inspirasjon til kartlegging av arbeidsprosesser» under. Dokumentet er en verdifull veiledning som hjelper deg med å identifisere de typiske prosesser som behandler persondata, forslag til lovlig grunnlag samt sletterutiner. (Dokumentet er ikke synlig for ikke-medlemmer) Bli medlem her.