Et nytt og bedre personvern?

Et nytt og bedre personvern?

EU har endelig kommet med forslag til regler om personvern som skal erstatte det gamle personverndirektivet fra 1995. Forslaget fikk mye oppmerksomhet, og det er det grunn til. Reglene er laget for at personvern nå skal komme på agendaen på styrerommene og ikke bare være et tema for it-spesialister. Men forslaget blir neppe vedtatt slik det står.

Teknologiske nyvinninger og endret adferd hos både bedrifter og forbrukere, har medført at de gamle reglene fungerer dårlig på mange områder. Da det gamle direktivet kom i 1995, brukte en prosent av EUs borgere internett. I dag er mer enn 97 prosent på internett. Nå mener 74 prosent av europeiske borgere at det å gi fra seg personopplysninger på nettet, er en del av et moderne liv. Kommuner og bedrifter vil ha billige cloud-løsninger og mange Datatilsyn i Europa stritter i mot at opplysningene forsvinner ut av deres kontroll. Både virksomheter og privatpersoner er usikre på om cloud-løsninger er trygge nok. Markedet for analyse av kundedata vokser med 40 prosent i året. Personopplysninger omsettes i cash. Det er på høy tid at direktivet fra 1995 får avløsning.

I tillegg har mange land i EU har tolket direktivet forskjellig. Det har gjort det vanskelig og dyrt å drive virksomhet i flere land. Dette prøver EU nå å forhindre ved å foreslå en forordning, ikke et direktiv. Det enkelte land har liten frihet til å tolke forordninger annerledes enn andre land og kanskje får man da en likere rettstilstand i EØS-området. Frem til nå har det eksempelvis vært slik at Norge kun har godtatt eksplisitte samtykker, mens for eksempel England har godtatt implisitte, passive samtykker. Utkastet til forordning angir at fra nå av skal samtykker være eksplisitte og godt informerte. Det er interessant å se at sentrale markedskrefter i Europa protesterer mot dette kravet. Kan det være fordi de frykter at kunder ikke vil samtykke når de får vite hva som skjer med opplysningene om dem?

Grunnprinsippene i det nye forslaget er de samme som tidligere, men mye blir strengere og mer personvern-vennlig. Det innføres mange nye definisjoner, blant annet av biometriske og genetiske opplysninger. Det innføres ulike aldersgrenser for ulike behandlinger og grensen for når man må innhente foresattes samtykke for sosiale nett-tjenester er satt til 13 år. I USA gjelder den samme grensen og det er jo nettopp årsaken til at det er 13 års grense på Facebook. Det er selvfølgelig praktisk at grensen er satt likt. Systemet i forslaget er i øvrig ganske annerledes enn i det gamle direktivet, og det er spennende lesning for oss som arbeider med feltet.

For internasjonale konsern blir det en lettelse at man slipper å forhold seg til hvert enkelt lands Datatilsyn, men kan ta alle personvernspørsmål opp med tilsynet i det land hvor virksomheten har sitt hovedkontor. Dessuten vil loven gjelde for all næringsvirksomhet innen EU. Det betyr at selv om en bedrift er utenlandsk, og har servere utenfor EU, så kan EUs borgere kreve at forordningen overholdes når de bruker tjenester fra bedriften. Borgerne kan klage til sitt nasjonale Datatilsyn og kreve at det "rydder opp" i forhold til en utenlandsk bedrift. For Datatilsynet kan forslaget nok bety at fokus for arbeidet blir mer rettet mot hva som skjer i Europa enn hva tilfellet er nå.

Et spennende prinsipp er at man skal kunne innføre "dataportabilitet" mellom sosiale medier. Det betyr at man kan ta sine opplysninger ut fra Facebook og over til Google+ hvis man ikke liker hvordan Facebook håndterer opplysningene. Eller til et annet sted.

Dette virker som et meget ambisiøst mål. Hvordan dette skal gjennomføres teknisk blir spennende å se, og dette er ett av de punktene det ventes å bli mest strid om videre. Noen har sammenlignet dette med nummerportabiliteten som ble innført i telesektoren for noen år siden, men antakelig er det langt mer teknisk vanskelig å portere alle facebook-opplysninger til et annet sosialt media. Man har jo tidligere også diskutert kontonummer-portabilitet mellom banker uten at det har latt seg gjøre så langt.

Et forslag som det antakelig er lettere å gjennomføre, er det at man skal ha rett til å kreve opplysninger om en selv slettet på sosiale medier. Dessuten skal man få vite hvilke opplysninger som samles inn om en selv, hvordan de brukes og hvor lenge de lagres. Dette er en stor endring sammenlignet med dagens situasjon på sosiale medier. Det foreslås også at standardinnstillingene på sosiale medier skal gi mest mulig personvern, såkalt "privacy by default". Vi ønsker en slik løsning velkommen ettersom standardinnstillingene til nå i hovedsak har vært at mest mulig opplysninger skal deles.

En annen innskjerping er at det innføres en plikt til å varsle myndigheter innen 24 timer dersom personopplysninger kommer på avveie. De berørte skal også varsles innen 24 timer – så langt det er mulig. Dette kan være omfattende plikt dersom mange må varsles, men vi vil tro at dette er en plikt som vil bli vedtatt selv om det allerede argumenteres mot plikten.

Det innføres bestemmelser om at personvernkonsekvenser skal vurderes ved utvikling av nye produkter og tjenester. Dette kalles "Privacy by design" og har vært et buzzword i personvernmiljøer et par år. En viktig presisering er at den registrerte skal få vite hvor lenge opplysningene om ham registreres. Dette er et punkt hvor mange norske virksomheter nok må justere sin praksis.

En endring mange vil sette pris på, er at meldeplikten til Datatilsynet forsvinner. På den annen side opprettholdes konsesjonsplikt for enkelte behandlinger. Det blir også annerledes ved at bedrifter med over 250 ansatte må ha personvernombud. I dag er det mest store konsern og noen offentlige virksomheter som har opprettet denne funksjonen. I USA ser vi at "Privacy officer" er blitt en vanlig stillingshjemmel. Vi regner med at dette er kompetanse som vil bli mer etterspurt her hjemme etter hvert.

For å gi kraft til bestemmelsene, får de nasjonale datatilsyn myndighet til å ilegge store bøter. Overtredelser straffes med bøter opp mot en million Euro eller to prosent av selskapets globale omsetning. Internasjonale medier skriver at EU opprinnelig hadde tenkt å foreslå bøter på fem prosent og at dette ble redusert til to prosent bare dager før offentliggjøringen. Microsoft og Google har allerede ment at også to prosent er for høyt. Det er ikke vanskelig å spå at det blir strid om dette.

Nå skal forslaget debatteres i EUs organer før det vedtas. Debatten vil antakelig ta et år, eller kanskje mer. Norge vil kunne påvirke det endelige resultatet dersom vi er aktive i debatten og i de relevante organer. Når reglene er vedtatt er det for sent å endre dem og de må implementeres i løpet av to år. Norge har lenge hatt et godt personvern sammenlignet med enkelte europeiske land. Vi håper dette blir opprettholdt og at vi i tillegg får praktiserbare regler rundt sosiale medier og cloud-løsninger.