Personvern og GDPR er et minefelt som fordrer juridisk innsikt, men hjelpen er sjelden langt unna.
– Vi forholder oss primært til jusen når det gjelder cybersikkerhet, som ofte handler om personvern og GDPR, og gir råd om nødvendige sikkerhetstiltak, prosedyrer og nødvendige tiltak ved brudd. Lovverket er utformet for å hindre at slike forekommer, men de skjer jo likevel, og må håndteres, sier Jostein Ramse, partner i advokatfirmaet Føyen.
Jostein Ramse
Partner i advokatfirmaet Føyen
– Da går vi gjerne inn i en task force hos virksomheten, og bistår i nødvendige vurderinger, som rapportering til myndigheter og berørte parter. I tillegg har vi sikkerhetsloven, som skal bidra til sikring av viktig informasjon, systemer og infrastruktur. Den er bygget over samme type lest som GDPR. De som omfattes av lovene, skal foreta risikovurderinger og sikre at informasjon ikke tilflyter uvedkommende, som heller ikke skal kunne trenge inn i systemene. Dette er de egentlig minimumskravene til sikkerhet. Likevel blir det alltid spørsmål hvilke sikkerhetstiltak som er gode nok.
Les også: Ny avgjørelse fra EU-domstolen avklarer hvilke opplysninger som omfattes av GDPR artikkel 9
Saftige sanksjoner
– Man kan påregne kraftige reaksjoner om viktige hensyn ikke er ivaretatt ved tilsyn i bedriften, og det er flere hensyn å ta. Én ting er hemmelige, ikke nødvendigvis personrelaterte data, omfattet av sikkerhetsloven, og så har du persondata, som omfattes av GDPR. GDPR-sanksjonene skal være noenlunde like i hele Europa, så det finnes retningslinjer for beregning av dem, og de kan være saftige. Det har bidratt til å skjerpe sikkerhetsfokuset.
Hva cyberdomenet gjelder, er Ramse tydelig på at løsepenge-angrepene er i vinden, der systemer låses og frigis mot en løsesum. I prinsippet stanser alle kritiske funksjoner, med mindre det rammede foretaket har alternativer i bakhånd.
Sikkerhets-bevissthet
– Da må vi tilbake til papirløsninger, som ingenlunde byr på funksjonaliteten i det digitale. Uten tilstrekkelig – og nylig – backup, settes du kraftig tilbake, fortsetter han.
– De fleste foretak har gode rutiner, så vi snakker sjelden om varig nedetid, men ubeleilig er det jo. Den beste forebyggende resepten er å ta sikkerhet på alvor. Ha prosedyrer på plass, for gjennom dem får man fokus på sikkerhet, og hvordan vi behandler personopplysninger. Stilles det krav til en prosess, aktualiseres også problemer man kan gjøre noe med, som om personopplysninger kan overføres eksternt. Da oppdager man gjerne at det finnes alternative løsninger.
– Vi prøver å gi råd om tiltak som kan brukes i interne kontrollsystemer. Det er jo ikke detaljkunnskap om teknologien i seg selv som er vår styrke, men prosessen og dens rammer. Vi vet hvordan alt skal håndteres, hvem som må varsles og hva meldingene må inneholde, og det gjør vi i stor utstrekning, slik at alle krav oppfylles.
Av Jarle Petterson