Her deler Anna Brantberger, Head of Legal i Stratsys og tidligere personvernombud, sine erfaringer med å jobbe med GDPR. Hun går nærmere inn på hvordan GDPR har utviklet seg de siste fem årene og kommer med fremtidsperspektiver om hva vi kan forvente av lovgivningen fremover.
Slik har fem år med GDPR påvirket Norge og omverdenen
De siste fem årene med GDPR har påvirket databeskyttelsesarbeidet på flere måter. Tilsynsmyndigheter har utstedt retningslinjer og veiledninger for å klargjøre tolkningen av forordningen. Organisasjoner har aktivt jobbet med å tilpasse sine interne prosesser og rutiner, samt prioritert databeskyttelse og personvern i sine IT-systemer for å oppfylle kravene i GDPR. Også rettspraksis har begynt å utvikle seg gjennom rettssaker og domstolsavgjørelser som har gitt ytterligere veiledning for å sikre etterlevelse og beskytte enkeltpersoners personopplysninger.
Den generelle bevisstheten om databeskyttelse og individets rettigheter har også økt, noe som har ført til økt etterspørsel etter transparens og kontroll over personopplysninger. Kort oppsummert har GDPR bidratt til å etablere en sterkere og mer konsekvent databeskyttelseskultur i EU og hatt en global påvirkning på databeskyttelsesregler og -bestemmelser over hele verden.
Økt etterspørsel etter systemstøtte som oppfyller kravene til "privacy by design"
GDPR har hatt en betydelig påvirkning på systemstøtte innen IT. En av de viktigste endringene er kravet om at IT-systemer og programvare må tilpasses for å møte databeskyttelsesbestemmelsene og sikre korrekt håndtering av personopplysninger. IT-systemer må for eksempel ha innebygde mekanismer for å beskytte personopplysninger mot uautorisert tilgang, urettmessig endring eller tap.
Anna Brantberger, Head of Legal i Stratsys
Viktigheten av systemstøtte for compliancearbeidet
Som systemleverandør har Stratsys utviklet nye verktøy og funksjoner de siste fem årene for å støtte organisasjoner i arbeidet med å oppfylle kravene i GDPR. Etter at GDPR trådte i kraft, har etterspørselen etter systemstøtte for å lette etterlevelsen av lovgivningen også økt markant, sier Anna.
– For oss er det selvsagt fortsatt viktig å kontinuerlig utvikle og tilpasse våre tjenester for å møte de kravene våre kunder, og potensielle kunder, stiller til oss som leverandør av for eksempel et complianceverktøy, sier Anna. Som systemleverandør er vi opptatt av å følge med i utviklingen og levere funksjonalitet som gjør det lettere for organisasjoner å arbeide med compliance-spørsmål som for eksempel GDPR.
Anna forteller videre at hun har sett store fordeler med å automatisere, forenkle og samle arbeidet i ett verktøy. Et systemstøtte gjør dokumentasjonen og rapporteringen av virksomhetens etterlevelse av GDPR enklere for både ledelsen og Datatilsynet, Norges nasjonale tilsynsmyndighet for behandling av personopplysninger.
– Vi i Stratsys bruker også våre egne produkter i arbeidet med å etterleve lovgivningen, fortsetter Anna. Det er viktig for oss å utvikle produkter som gjør compliance-arbeidet lettere for kundene våre.
3 Framtidsspaningar: Hvordan kan GDPR utvikle seg fremover?
1. AI må reguleres i henhold til GDPR
Ved å følge GDPRs prinsipper og regler kan man sikre at bruken av AI er transparent, rettferdig og respekterer de grunnleggende prinsippene for databeskyttelse. Dette er spesielt viktig med tanke på den potensielle risikoen for diskriminering, misbruk og tap av kontroll over personopplysninger som kan oppstå ved implementering av AI. Ved å regulere AI i henhold til GDPR skapes det en balanse mellom innovativ bruk av teknologien og beskyttelsen av individets privatliv og rettigheter.
AI-utvikling krever ofte store datamengder for å kunne trenes og levere korrekte resultater, noe som utfordrer prinsippet om dataminimering som har som mål å minimere innsamlingen og bruken av personopplysninger til det absolutt nødvendige. For å håndtere dilemmaet må organisasjoner nøye vurdere hvilke personopplysninger som virkelig er nødvendige for å trene AI-modeller og iverksette tiltak for å minimere innsamlingen av unødvendige eller sensitive opplysninger, forklarer Anna.
2. Sanksjoner kan ramme flere
I fremtiden kan flere selskaper og organisasjoner bli gjenstand for sanksjoner for å ha brutt GDPR, mener Anna. Tidligere har tilsyn hovedsakelig vært rettet mot selskaper og offentlige virksomheter der Datatilsynet har vurdert at det har størst effekt i form av regeletterlevelse og læring for den granskede virksomheten og øvrige selskaper og organisasjoner, men ettersom Datatilsynet har fått økte ressurser til å gjennomføre tilsyn og tilsynsarbeid og dette er en av deres mest prioriterte områder å forbedre, kan dette endre seg. Dette innebærer at alle organisasjoner, uansett størrelse, må iverksette nødvendige tiltak for å sikre etterlevelse av GDPR for å unngå eventuelle pålegg.
3. GDPR fortsetter å påvirke overføringer mellom USA og EU
Etter ugyldiggjøringen av Privacy Shield-regelverket i Schrems II-dommen i 2020, har EU og USA aktivt søkt etter alternative løsninger for å muliggjøre fri overføring av personopplysninger, forteller Anna. EU-kommisjonen arbeider nå for å etablere et nytt rammeverk, kjent som EU US Data Privacy Framework, med mål om å løse databeskyttelsesspørsmål mellom EU og USA.
– Det gjenstår å se om det nye rammeverket vil være tilstrekkelig for å unngå fremtidige rettslige utfordringer, som for eksempel en eventuell Schrems III-dom. Fremtiden vil avsløre om det nye rammeverket kan tilby en stabil og langsiktig løsning for å opprettholde beskyttelsen av personopplysninger ved overføringer mellom EU og USA.
Stratsys gir deg forutsetninger for å drive et systematisk og proaktivt arbeid med informasjonssikkerhet og ta kontroll over organisasjonens etterlevelse av databeskyttelsesregler. Her kan du lese mer om hvordan Stratsys sitt verktøy kan hjelpe deg med databeskyttelses- og informasjonssikkerhetsarbeidet.