KRONIKK: 11 påstander om GDPR og de nye personvernreglene som er (delvis) feil

[Redaksjonen.]

KRONIKK: 11 påstander om GDPR og de nye personvernreglene som er (delvis) feil

[Tekking]

Takk

[tommyb]

KRONIKK: 11 påstander om GDPR og de nye personvernreglene som er (delvis) feil:

 

6. Vi trenger ikke juridisk ekspertise (fra artikkelforfatter/DLA PIPER) for å bli klare til GDPR.

 

 

Kronikk, møt tekstreklame. Tekstreklame, møt... Åja. Dere kjenner hverandre fra føøør...

 

 

[deviant]

Jeg skjønner at det nye regelverket fremstår som en stor mulighet for bransjen artikkelforfatter representerer, men kanskje Digi også kan finne noen som ikke har alt å tjene på at GDPR hypes opp?

[mmm...]

Datasikkerhet og personvern er flott, og det er stort behov for å bedre folks bevissthet, men samfunnet er på ville veier når det lages regelverk som er så komplekse at gud og hvermann skal presses til å betale slike parasitter som de artikkelforfatteren representerer.

[K_a]

Du vil antakelig til en gitt grad trenge juridisk ekspertise. Som IT konsulent har jeg alt hatt endel kontakt med datatilsynet for å avklare mange grenser, men svarene er tåkete og indikerer at selv ikke datatilsynet egentlig vet hvor grensene går.

 

"Alle" data som er egnet å identifisere en "privat person" er i utgangspuntet persondata. Jeg tilbyr for eksempel brukerstøtte tjenester til bedrifter, men ble fortalt at om ansatte av mine kunder logget seg på brukerstøtte systemet hjemmenfra så ville IP addressene de brukte regnes som persondata i mitt system og underlagt loven selv om jeg kun hadde bedrifter som kunder.

 

At ditt kundestystem kun innholder offentlig informasjon som navn, addresse og telefonnummer har ingenting å si - datatilsynet regner alt som persondata uavhengig av om informasjonen kan fremskaffes fra telefonkatalogen.

 

Store bedrifter benytter alt en rekke metoder for å unngå direktivet. DHL for eksempel krever at alle pakker må registeres som fra/til "bedrift" uavhengig av om avsender eller kunde faktisk er privat personer. På spørsmål knyttet til temaet svarer datatilsynet kan ikke svare for at slikt vil forfølges, men indikerer samtidig at det trolig har liten betydning og at de fortsatt vil regne det som persondata.

[K_a]

Slik jeg ser det handler i utgangspunktet loven som informasjon om helse, kreditt informasjon, og generell kartlegging av individer. Men datatilsynet vil ikke klarere noe om hvor grensene går. Alt de stadfester er at alt er "persondata" så lenge de knyttes til privat personer.

 

Mitt stilte for eksempel spørsmålet:

Jeg vil forvente at alle bedrifter er pålagt å oppbevare faktura med full addresse og kanskje telefon nummer/email på kontaktperson i henhold til regnskapsloven. Vil slike faktura på noe vis omfattes av personvernsloven også, er lagring av faktura kun regnet som unntak, eller hvor går egentlig grensen? Og hvor lenge kan dataene holdes?

 

Datatilsynets svar:

Fakturaopplysninger vil kunne være personopplysninger, og personvernforordningen vil gjelde i tillegg til eventuell sektorlovgivning. Sletteplikten vil kunne begrenses i henhold til artikkel 17 punkt 3, eksempelvis en lovhjemmel eller pålegg fra det offentlige. Konkret lagringstid vil kunne være relativ – opplysningene kan lagres frem til formålet med innsamlingen er oppfylt. De skal slettes når formålet er oppnådd.

[K_a]

I mange tilfeller finnes det metoder for å anonymisere data på.

Brukerstøtte-systemet jeg satte satte opp var rettet mot bedriftskunder. Om annsatte skulle koble seg til støttesystemet fra sine hjem ungår jeg nå problemet med IP addresse via VPN. Selv om hjelpesystemet automatisk registrerer IP addresse er det således ikke noe problem da IP addressen via VPN ikke er sporbar i systemet.

 

Dvs. så lenge alle følger prosedyre for registering av IT problemer, samt prosedyrer for oppfølging så vil dataene ikke rammes av direktivet.

 

Det er like fullt svært kjedelig at datatilsynet ikke mener jeg måtte unngå "Navn" og "telefonnummer" til private individer for å sikre at problem historikken og oppfølgingen kunne bevares.

[K_a]

Burde vel nevne at jeg klarte å finne en akseptabel måte å sikre at alle data for brukerstøtte systemet jeg setter opp for kunder kan beholde alle brukeres henvendelser med full oppfølgingshistorikk, selv i situasjoner der ansatte kobler seg til systemet fra private addresser. Man kan for eksempel anonymisere IP addresser via VPN.

 

Det er likevel kjedelig at datatilsynet ikke uten videre kunne godkjenne at jeg setter opp systemet i en virtuell serverpark ved min norske data leverandør så lenge inneholde enkle data som "navn" og "mobiltelefon" for å kontakte brukerene ved problemer.

[tommyb]

Det er likevel kjedelig at datatilsynet ikke uten videre kunne godkjenne at jeg setter opp systemet i en virtuell serverpark ved min norske data leverandør så lenge inneholde enkle data som "navn" og "mobiltelefon" for å kontakte brukerene ved problemer.

 

Dette er ikke-sensitive persondata, og da er det vel kun meldeplikt som gjelder? 

[tyrone91x]

Du vil antakelig til en gitt grad trenge juridisk ekspertise. Som IT konsulent har jeg alt hatt endel kontakt med datatilsynet for å avklare mange grenser, men svarene er tåkete og indikerer at selv ikke datatilsynet egentlig vet hvor grensene går.

 

"Alle" data som er egnet å identifisere en "privat person" er i utgangspuntet persondata. Jeg tilbyr for eksempel brukerstøtte tjenester til bedrifter, men ble fortalt at om ansatte av mine kunder logget seg på brukerstøtte systemet hjemmenfra så ville IP addressene de brukte regnes som persondata i mitt system og underlagt loven selv om jeg kun hadde bedrifter som kunder.

 

At ditt kundestystem kun innholder offentlig informasjon som navn, addresse og telefonnummer har ingenting å si - datatilsynet regner alt som persondata uavhengig av om informasjonen kan fremskaffes fra telefonkatalogen.

 

Store bedrifter benytter alt en rekke metoder for å unngå direktivet. DHL for eksempel krever at alle pakker må registeres som fra/til "bedrift" uavhengig av om avsender eller kunde faktisk er privat personer. På spørsmål knyttet til temaet svarer datatilsynet kan ikke svare for at slikt vil forfølges, men indikerer samtidig at det trolig har liten betydning og at de fortsatt vil regne det som persondata.

 

ja. da vi prøvde å utarbeide våre retningslinjer for overholdelse av retningslinjene for virksomheten vår, tok vi inspirasjon og eksempler fra mange tjenesteleverandører som facebook, google, ivacy vpn, twitter, hotjar og andre til å komme opp med noe som ikke gir oss en straff etter 25. mai. vi kom over mange andre tjenesteleverandører som føler at datoen kan bli utvidet, men jeg ser ikke det som skjer.

ja. da vi prøvde å utarbeide våre retningslinjer for overholdelse av retningslinjene for virksomheten vår, tok vi inspirasjon og eksempler fra mange tjenesteleverandører som facebook, google, ivacy vpn, twitter, hotjar og andre til å komme opp med noe som ikke gir oss en straff etter 25. mai. vi kom over mange andre tjenesteleverandører som føler at datoen kan bli utvidet, men jeg ser ikke det som skjer.