Det er ingen hemmelighet at det skjer mye innen databeskyttelse, men flere vil ha behov for å holde seg bedre oppdatert. Noen som har full kontroll på utviklingen er IT-advokaten Agnes Hammarstrand. Her gir hun et innblikk i status for databeskyttelse i dag og hva du som jobber innenfor feltet kan forvente i fremtiden. Kort sagt har viktigheten av et godt arbeid innen informasjonssikkerhet og databeskyttelse aldri vært tydeligere.
Økt interesse rundt databeskyttelsesspørsmål
Bedrifter og organisasjoner prioriterer databeskyttelsesspørsmål i større grad i dag. De som ikke jobber med disse spørsmålene kan møte store hindre. Vi har for eksempel sett hvordan leverandører som ikke har oversikt over spørsmålene har mistet kunder. Hvordan de som ikke har kontroll over hendelseshåndtering og jobber forebyggende med informasjonssikkerhet er mye mer sårbare for IT-hendelser, hvilket skaper enorme tap og problemer for selskapene.
Men selv om arbeidet med databeskyttelsesspørsmål blir bedre, er det utfordringer og en generell frustrasjon over byråkratiske lover og regler. Agnes Hammarstrand er partner og advokat i Advokatfirmaet Delphi og spesialist i IT-relatert juss. Hun er en av Sveriges fremste eksperter og forelesere innen IT/teknologi og GDPR. Sammen med et team av advokater og jurister gir Agnes råd til bedrifter, myndigheter og kommuner i databeskyttelsesspørsmål etc. Vi lot henne beskrive utviklingen og de utfordringene hun ser fremover.
Databeskyttelse 2023: GDPR og 50 år med databeskyttelse
Agnes beskriver 2023 som et skikkelig jubileumsår da vi feiret fem år med GDPR, 50 år med databeskyttelse i Sverige og 50 år siden Sveriges første datatilsynsmyndighet ble født – som faktisk også er verdens eldste datatilsyn (det som nå er IMY).
Da GDPR ble innført ble Agnes (som hadde jobbet flere år med den gamle personopplysningsloven) kontaktet av mange bekymrede bedrifter som ønsket å vite mer om de kommende bøtene og sanksjonsavgiftene. Hun beroliget selskapene ved å forklare at det neppe ble utstedt bøter i noen særlig grad like etter at loven trådte i kraft, hvilket også viste seg å stemme.
– Den siste tiden har vi derimot sett at det har blitt mer og mer tilsyn, sanksjonsavgifter og også større beløp. Men jeg synes ikke at man skal jobbe med GDPR basert bare på frykten for risikoen for å bli bøtelagt. Det finnes så mange andre viktige årsaker, sier Agnes.
Hva lærte vi av fem år med GDPR?
– Det finnes ingen quick fix som lar deg løse alt noen uker før en lov trer i kraft. GDPR tvinger deg til å jobbe kontinuerlig i virksomheten. Rutiner og prosesser må være på plass, og du må gjøre det både fra et juridisk synspunkt og fra et informasjonssikkerhet-synspunkt; samt gjeldende teknisk sikkerhet, sier Agnes.
"Det finnes ingen quick fix som lar deg løse alt noen uker før en lov trer i kraft. GDPR tvinger deg til å jobbe kontinuerlig i virksomheten."
GDPR introduserte også flere interessante problemstillinger som tilrettelegger for systematisk arbeid med informasjonssikkerhet, juss og teknologi. Og selv om det tok tid, kom det også mer og mer tilsyn og nye veiledninger fra European Data Protection Board.
– En annen spennende ting som har skjedd er at organisasjonen NOYB (European Centre for Digital Rights), som driver med personvernsaker, har anmeldt mange foretak ut fra et rettighetsperspektiv, og på denne måten fått i gang tilsyn i saken, forteller Agnes.
Noe annet som har fått mye fokus er overføringer utenfor EU. De av dere som jobber med skytjenester kjenner sikkert til Schrems II, som inkluderer tredjelandsoverføringer og amerikanske skytjenester. La oss gå dypere inn i det.
Dataoverføring til tredjeland – Schrems II
Kort oppsummert kan man si at Schrems II er en avgjørelse fra EU-domstolen som ugyldiggjorde Privacy Shield-avtalen mellom EU og USA for overføring av personopplysninger. Det krever økt varsomhet ved overføring av personopplysninger utenfor EU, og rammer selskaper som må iverksette ekstra tiltak for å sikre databeskyttelse. Det har vært en føljetong de siste årene som innebar at det flere ganger har vært ulovlig å overføre personopplysninger til USA – da det ikke ble ansett som et godkjent land.
Men en ny prinsippavtale er nå inngått mellom EU og USA om dataoverføring. EU-US Data Privacy Framework betyr at det nå er lovlig å overføre personopplysninger til selskaper som er sertifisert i henhold til Data Privacy Framework.
– Men det er mange som er kritiske. Schrems III er i gang og forberedes fra NOYB, men mange tror ikke det kommer til å holde. Hva skjer for eksempel hvis USA får en ny president? Hvis vi fortsetter å se ytterligere terrorisme og usikkerhet i omverdenen? Visse anser at det allerede i dag er problematisk i henhold til GDPR, mener Agnes.
Agnes Hammarstrand, Advokat og Partner i Delphi
5 viktige databeskyttelsestips fra Agnes for fremtiden
1. Overføring handler ikke bare om hvor serveren ligger
– Det er en av de vanligste misoppfatningene jeg hører. De fleste er klar over eierskapet og hvor serveren ligger. Men det viktigste er om det i det hele tatt skjer noen overføring av personopplysninger. Er det noen som ser på personopplysningene? Finnes det en helpdesk eller støtte i et annet land? Det er også overføring. Du må lese avtalene og se helheten. For å se om en tjeneste er lovlig handler det sjelden om utenlandsk eierskap eller hvor serveren befinner seg, men derimot om hvilken informasjonssikkerhet som finnes, hvordan avtalen ser ut, og om europeisk og norsk lov følges.
2. Ta et steg tilbake og analyser
– Gå igjennom hva som er viktigst for ditt foretak og hva dere bør prioritere med en ekspert. Dere vil ikke nødvendigvis møte de samme risikoene som en annen bedrift, kommune eller region. Gå igjennom bl.a. følgende spørsmål:
- Jobber vi systematisk og kontinuerlig med GDPR og andre problemstillinger?
- Har vi en organisert måte å jobbe med disse problemstillingene?
- Har vi systemstøtte?
- Har vi prioritert de viktigste juridiske dokumentene og prosedyrene?
3. Gå gjennom hele avtalen ved et IT-kjøp
– Det handler ikke bare om å se på spørsmålene rundt tredjelandsoverføring. Sjekk også hva leverandøren lover i sin helhet, for eksempel hva som skjer ved driftsstans. Hvilke krav stiller dere selv rundt tilgjengelighet? Dette er viktige spørsmål som også er relevante for datavernarbeidet. Det er ofte GDPR-problemer ved anskaffelse av IT-tjenester, så la en jurist lese hele avtalen, ikke bare databehandleravtalen.
4. Enda viktigere med et helhetssyn og systemstøtte
– Vi står i dag overfor en mer kompleks virkelighet med flere lover som samhandler. For eksempel er AI-forordningen nå ferdigstilt og vil gjelde i hele EU. Vi har Data Act som nylig ble vedtatt av EU. Ettersom databeskyttelse er en integrert del av det systematiske compliance-arbeidet, blir det stadig viktigere å ha rett verktøy som systemstøtte.
5. Personopplysningshendelser har blitt mer alvorlige
– Fra et juridisk perspektiv ser vi en generell økning i personopplysningshendelser. Tidligere var ikke hendelsene like alvorlige – nå forårsaker de ordentlig skade. Vi har sett selskaper som nærmest har gått konkurs og hvor innbyggerne har blitt alvorlig rammet. Dette må vi ta på alvor gjennom forebyggende, kontinuerlig arbeid som fokuserer på hvordan virksomheter jobber med hendelser. Det er ikke bare en IT-sak som skal delegeres videre til noen i IT, men er derimot problemstillinger som påvirker hele bedriften, kommunen eller regionen.
Oppsummering: Slik bør du jobbe med databeskyttelse fremover
– Det blir enda viktigere å jobbe sammen fremover, mellom juss, teknologi, informasjonssikkerhet og virksomheten i sin helhet. I jussen blir det viktigere å se på avtaler og andre juridiske dokumenter. Fra et teknisk aspekt trenger du å gå igjennom hvordan dere beskytter bedriftens informasjon, hva slags autorisasjonskontroll dere har og hvordan dere jobber med informasjonssikkerhet.
Denne teksten er basert på foredraget Agnes Hammarstrand holdt i webinaret vårt om cybersikkerhet, 16. november 2023. Webinaret inneholder også spennende samtaler om blant annet Dora og NIS2.