Ny personvernlov Nå får du kontroll over personinformasjonen din
25. mai trer en ny personvernlov i kraft i Norge.
I 2016 vedtok EU den nye personvernlovgivning General Data Protection Regulation (GDPR). I mai vil denne loven tre i kraft i Norge. Loven påvirker alle virksomheter som bruker personinformasjon om borgere i EU/EØS. Forbrukere av nettjenester vil oppleve at deres rettigheter skal bli bedre ivaretatt.
Retten til å slettes
Ingrid Jacobsen er seniorrådgiver i Avdeling for forskning og utvikling ved OsloMet-storbyuniversitetet. Hun forteller at GDPR vil gjøre det lettere enn tidligere å få all personlig informasjon om seg selv slettet fra arkivene til bedrifter.
– Brukers rett til sletting er tydeligere enn tidligere. Det er strengere krav for ikke å bli slette.
Videre forteller hun at en har rett til å protestere på måten ens personopplysninger blir brukt på i markedsføring. Dette kan ha betydning for brukere av sosiale medier.
– Dersom personopplysninger behandles ved direkte markedsføring skal bruker til enhver tid ha rett til å protestere mot behandling av sine personopplysninger, sier Jacobsen. – Det gjelder også profilering i den grad dette er knyttet til direkte markedsføring. Kommer bruker med en innsigelse mot behandling med henblikk på direkte markedsføring, skal personopplysningene ikke lengre behandles for slike formål. tilføyer Jacobsen.
Skal bli lettere å forstå vilkårene
Jacobsen forteller at det loven ikke bare styrker rettighetene til privatpersoner, men at det også skal bli enklere å forstå vilkårene rundt personopplysningene som gis til bedrifter.
– En vanlig privatperson vil etter hvert oppleve å få mer konkret og forståelig informasjon om hva personopplysningene deres brukes til, hvem som bruker dem, når de slettes, hvilke rettigheter de har, sier hun.
Hun påpeker at når man blir registrert og samtykker til å la en virksomhet bruke personopplysninger om seg selv, så skal ikke den informasjonen brukes til andre ting enn hva som står i samtykket. Hvis informasjonen skal brukes i flere ting, så skal dette komme tydelig frem i samtykket. I tillegg kan den som har gitt sitt samtykke, trekke det tilbake når som helst.
– Det er strengere krav til informasjon om nettjenesten (hva informasjonen skal inneholde) og til samtykkets form og språk.
Omfattende omstilling for virksomhetene
Den nye loven vil få omfattende konsekvenser for virksomheter som bruker og lagrer personinformasjon om borgere i EU- og EØS-land. Datatilsynet har laget en oversikt over de nye pliktene til disse virksomhetene. Pliktene innebærer å kunne oppfylle borgernes nye rettigheter. Dette inkluderer blant annet å integrere personvern inn i nye løsninger, opprette personvernombud og strengere regler for å håndtere sikkerhetsbrudd.
Institusjoner som universiteter er også blant de virksomhetene som vil måtte omstille seg for å imøtekomme kravene til den nye loven. Universitetet har et ansvar et ansvar for å behandle personinformasjonen om studenten kun etter det formålet som studenten har samtykket til.
Ingrid Jacobsen sier at det er avhengig av hvor god oversikt og rutinger institusjonen har på behandling av personopplysninger for hvor omfattende omstillingen til GDPR blir for dem
– GDPR har stort fokus på ansvar og risiko. Det er nå gitt større ansvar til institusjoner og virksomheter, sier hun.
Kan bli enda bedre
Thomas Tømmernes jobber som IT-sikkerhetsekspert ved Atea som er et firma med spesialister i IT-infrastruktur. Han mener at GDPR er et skritt i riktig retning, men at rettighetene kunne blitt enda bedre.
– Noen steder vil det selvfølgelig være godt nok, men det vil jo alltid være områder kravene kunne vært strengere, sier han.
I en kronikk i IT-branjsens nettavis Digi, forteller Tømmernes at vi som forbrukere av forskjellige apper og nettjenester legger fra oss mange digitale forspor. Selv om GDPR er et skritt i riktig retning, mener han at det er viktig å tenke seg om angående sin egen personinformasjon.
– Jeg pleier å si at hverken lover eller sikkerhetsløsninger trumfer godt gammeldags bondevett og folkeskikk, sier Tømmernes.