Her deler Anna Brantberger, Head of Legal i Stratsys og tidligere databeskyttelsesansvarlig, sine erfaringer med å jobbe med GDPR. Hun går nærmere i detalj om hvordan GDPR har utviklet seg i løpet av de siste fem årene og kommer med fremtidsutsikter rundt hva vi kan forvente oss av lovverket fremover.
Slik har fem år med GDPR påvirket Sverige og omverden
De siste fem årene med GDPR har påvirket databeskyttelsesarbeidet på flere måter. Tilsynsmyndigheter har gitt retningslinjer og veiledninger for å tydeliggjøre tolkningen av forskriften. Organisasjoner har jobbet aktivt med å tilpasse sine interne prosesser og rutiner, samt prioritere databeskyttelse og integritet i IT-systemene sine for å oppfylle kravene i GDPR. Også rettspraksis har begynt å vokse frem gjennom rettssaker og domstolsavgjørelser; som har gitt ytterligere veiledning for å sikre etterlevelse og beskytte enkeltpersoners personopplysninger.
Den generelle bevisstheten om databeskyttelse og individers rettigheter har også økt, hvilket har ført til økt krav om åpenhet og kontroll over personopplysninger. Oppsummert har GDPR bidratt til å etablere en sterkere og mer konsekvent databeskyttelseskultur i EU og hatt en global påvirkning på databeskyttelsesregler og forskrifter verden over.
Økt etterspørsel etter systemstøtte som oppfyller kravene på "privacy by design"
GDPR har hatt en betydelig innvirkning på systemstøtte innenfor IT. En av de viktigere endringene er kravet om at IT-systemer og programvare skal tilpasses for å møte personvernregelverkene og sikre forsvarlig håndtering av personopplysninger. For eksempel må IT-systemer ha innebygde mekanismer for å beskytte personopplysninger fra uautorisert tilgang, uautorisert endring eller tap.
Anna Brantberger, Head of Legal på Stratsys
Viktigheten av systemstøtte for compliancearbeidet
Som systemleverandør har Stratsys i løpet av de siste fem årene utviklet nye verktøy og funksjoner for å støtte organisasjoner i arbeidet med å oppfylle kravene i GDPR. Etter at GDPR trådte i kraft har også etterspørselen etter systemstøtte for å lette etterlevelsen av lovverket økt betydelig, mener Anna.
– For oss er det selvsagt fortsatt viktig å kontinuerlig utvikle og tilpasse tjenestene våre for å møte kravene våre kunder og potensielle kunder stiller til oss som leverandør av for eksempel et complianceverktøy, sier Anna. Som systemleverandør er vi opptatt av å følge med i utviklingen og levere funksjonalitet for å lette organisasjoners arbeid med compliance-spørsmål som for eksempel GDPR.
Anna forteller videre at hun har sett store fordeler med å automatisere, forenkle og samle arbeidet i ett enkelt verktøy. En systemstøtte forenkler dokumentasjon og rapportering av virksomhetens etterlevelse av GDPR for både ledelsen og Datatilsynet, Norges nasjonale tilsynsmyndighet for behandling av personopplysninger.
– Vi i Stratsys bruker også selv våre egne produkter i arbeidet med å overholde lovverket, fortsetter Anna. Det er viktig for oss å utvikle produkter som letter våre kunders compliance-arbeid.
3 innsikter for fremtiden: hvordan vil GDPR utvikle seg fremover?
1. AI har behov for å reguleres i henhold til GDPR
Ved å følge prinsippene og reglene i GDPR kan man sikre at bruken av AI er transparent, rettferdig og respekterer de grunnleggende prinsippene for databeskyttelse. Det er spesielt viktig med tanke på den potensielle risikoen for diskriminering, misbruk og tap av kontroll over personopplysninger som kan oppstå ved implementering av AI. Ved å regulere AI i henhold til GDPR skapes det en balanse mellom innovativ bruk av teknologien og beskyttelse av individets integritet og rettigheter.
AI-utvikling krever ofte store mengder data for å trenes og levere korrekte resultater, hvilket utfordrer prinsippet om dataminimering, som tar sikte på å minimere innsamling og bruk av personopplysninger til det absolutt nødvendige. For å håndtere dilemmaet må organisasjoner nøye vurdere hvilke personopplysninger som virkelig trengs for å trene AI-modeller og vedta tiltak for å minimere innsamlingen av unødvendig eller sensitiv data, forklarer Anna.
2. Sanksjoner kan ramme flere
I fremtiden kan flere bedrifter og organisasjoner bli utsatt for sanksjoner for brudd på GDPR, mener Anna. Tidligere har tilsyn i hovedsak vært rettet mot foretak og offentlige virksomheter der Datatilsynet har vurdert at det vil ha størst effekt i form av regeletterlevelse og læring for den granskede virksomheten og andre foretak og organisasjoner, men ettersom Datatilsynet har fått økte ressurser for å gjennomføre tilsyn og da arbeid med tilsyn er en av deres mest prioriterte saker å forbedre, kan det fort endre seg. Dette betyr at alle organisasjoner, uavhengig av størrelse, har behov for å vedta nødvendige tiltak for å sikre etterlevelse av GDPR for å unngå eventuelle påkjenninger.
3. GDPR fortsetter å påvirke overføringer mellom USA og EU
Etter annulleringen av Privacy Shield-regelverket i Schrems II-dommen i 2020, har EU og USA aktivt søkt etter alternative løsninger for å muliggjøre fri overføring av personopplysninger, forteller Anna. EU-kommisjonen streber nå etter å etablere et nytt rammeverk, kjent som EU US Data Privacy Framework, med hensikt å løse databeskyttelsesspørsmål mellom EU og USA.
– Det gjenstår å se om det nye rammeverket vil være tilstrekkelig for å unngå fremtidige juridiske utfordringer, som en eventuell Schrems III-dom. Fremtiden vil avsløre om det nye rammeverket kan tilby en stabil og langsiktig løsning for å opprettholde beskyttelsen av personopplysninger ved overføringer mellom EU og USA.
Stratsys gir deg forutsetninger for å drive et systematisk og proaktivt informasjonssikkerhetsarbeid og ta kontroll over organisasjonen din sin etterlevelse av databeskyttelsesregler. Her kan du lese mer om hvordan Stratsys sine verktøy kan hjelpe deg med databeskyttelse- og informasjonssikkerhetsarbeidet ditt.