Slik håndterer du GDPR og taushetsplikt
GDPR og taushetsplikt kan være vanskelig å forstå, og fremstå som utilgjengelig. Advokat Roy Johansen har skrevet bok om emnet og gir her sine beste tips for godt personvernarbeid.
Tekst: Sjur Anda
– Dette er faktisk noe av det vanskeligste jeg har vært borte i som jurist, sier Roy Johansen, advokat i Frende Forsikring og forfatter av boken «Behandling av kundeopplysninger i forsikring.»
For å få orden på GDPR-arbeidet, må man først kartlegge alle prosesser og systemene man bruker.
– Det er en stor jobb, foretakene har ofte mange ulike systemer knyttet til hverandre. I tillegg er jo selskapene i utvikling, noe som endrer og skaper nye prosesser. Derfor blir man aldri ferdig med dette kartleggingsarbeidet. Man må ha rutiner for å jevnlig gå gjennom de endringene som skjer og håndtere de i relasjon til regelverket, sier Johansen.
Når man har oversikt, må man se hvilke regler som gjelder hvor i prosessene. Stikkord her er behandlingsgrunnlag, et litt tørt og kjedelig ord, men et veldig viktig ord i GDPR-sammenheng.
– Uten behandlingsgrunnlag har du ikke lov til å behandle personopplysninger. Du må ha lov til å behandle opplysningene til visse formål, som eksempelvis å ta kontakt med kunden, eller å innhente opplysninger i en skadesak. Hva kan jeg gjøre på grunnlag av dette behandlingsgrunnlaget må du spørre hele tiden, sier advokaten.
Personvernerklæringen er et annet viktig stikkord. Den skal, så uttømmende som mulig, beskrive hvilke opplysninger som behandles, hvordan de lagres, hva de brukes til og hvem som har tilgang til dem.
SKAPE FORSTÅELSE
GDPR- og taushetspliktarbeid kan oppfattes som noe som tar mye tid og gjør ting unødig tungvint. Derfor er det viktig at ledelsen skaper forståelse blant de ansatte for å gjøre dette arbeidet ordentlig.
– Det er en rivende utvikling på dette området. Regelverket utvikler seg, og arbeidsmåtene utvikler seg. Oppmerksomheten rundt personvernspørsmål har løftet seg mange hakk, og det er svært mange ansatte som jobber med dette i bransjen nå. Jeg opplever at det i dag er større aksept og forståelse for at dette er en del av jobben, sier Johansen.
Han får stadig flere spørsmål rundt dette temaet.
– Mange kommer og spør om hvordan de skal gjøre ting for at det skal være lovlig. Vi får også spørsmålene tidligere i prosessen. Før kom det gjerne spørsmål dagen før lansering, forteller han.
Ikke minst er dette viktig når du skal bygge nye prosesser eller systemer.
– Datatekniske løsninger skal bygges slik at du ikke bruker flere opplysninger enn du har behov for. I forsikring vil man gjerne vite alt som er mulig å vite, men det er ikke lov. Da må vi spørre oss hva som er viktigst når vi skal regne på risiko og lønnsomhet, sier Johansen.
KOMPLISERT TAUSHETSPLIKT
Hvis du ikke kan noe om taushetsplikt, kan det oppleves som tryggest å ikke si noe. Men hvis du driver en kommersiell virksomhet er det lite hensiktsmessig.
– Du må bruke den tiden som kreves for å finne ut hvilke opplysninger som er taushetsbelagte og hvilke unntak som gjelder.
I utgangspunktet er alle forsikringsopplysninger taushetsbelagt når de er i selskapet.
– Ikke alle ansatte har lov til å lese opplysningene som er registrert. Du må ha det som kalles tjenstlig behov for å få tilgang. Det er helt grunnleggende, og uten det unntaket kunne man ikke drevet butikken. Spørsmålet er rett og slett hvem har behov for å vite hva?
– Salg har eksempelvis ikke behov for å få skadeopplysninger, men hvor mange skader kunden har hatt er relevant. Detaljene har de ikke behov for. Et annet praktisk spørsmål er hvordan man utveksler opplysninger med andre parter. Andre forsikringsselskaper, NAV, takstmenn og politi er viktige samarbeidspartnere. Der må man finne ut hvilke regler som gjelder og hvordan man skal navigere i henhold til dem. Dette kan handle om svindel og hvitvaskingssaker. Hvis man av redsel for å trå feil ikke deler opplysninger, kan det være uheldig for oppklaring av saken. Samtidig må man ikke dele mer enn man har lov til. Det fordrer at noen har satt seg inn i hvilke regler som gjelder om hva som er lov og ikke lov å dele. Ikke la strenge regler føre til handlingslammelse, men sørg for at det skjer på en ordentlig måte, sier Johansen.
Roy Johansens 10 bud om behandling av person- og bedriftsopplysninger
- Gjennomgå alle prosesser og systemer.
Bedriften må først kartlegge og gjennomgå alle prosesser og kundesystemer som behandler kundeopplysninger. Først da har man oversikt over hvilke opplysninger som behandles, hvor de behandles og hvordan de behandles.
- Gjenta prosessen i pkt. 1 jevnlig slik at du erà jour.
Husk at bedriften i stadig økende tempo utvikler nye prosesser og systemer.
- Hvilke krav i GDPR gjelder for oss?
På grunnlag av 1 og 2 må bedriften lage en oversikt over hvilke GDPR–regler som må hensyntas. Stikkord her er: Behandlingsgrunnlag for de ulike typer behandlinger, formålsangivelse, personvernerklæring, utforming av samtykker der det kreves, sikker lagring av opplysningene osv.
- Skap forståelse for trygg behandling av kundeopplysninger
Skap forståelse og aksept blant ledelse og medarbeidere for viktigheten av trygg behandling av kundeopplysninger.
- Involverallemedarbeiderne i personvern
Ikke la personvern bli en sak som personvernombudet eller compliance steller med! Godt personvern skapes først når alle er med og drar lasset.
- Ta juristen med på lag når noe nytt utvikles
Involver personvernombudet eller andre som kan personvern i utviklingen av nye prosesser og systemer. Da kan du unngå å gjøre feil allerede i starten.
- Dårlig personvern er dårlig butikk – godt personvern er god butikk!
Tråkker du feil kan det påløpe både gebyr fra Datatilsynet, erstatningskrav fra de berørte og dårlig omdømme for bedriften.
- Lær deg selv de aller viktigste reglene!
Og søk hjelp når du er i tvil. Stå i ro inntil du har fått avklart spørsmålet!
- Ikke la strenge regler føre til handlingslammelse
Det er fortsatt lov å behandle personopplysninger, men sørg for at det skjer på en skikkelig måte!
- Kjøp boken om GDPR og taushetsplikt!
Boken som gir deg svar på svært mange praktiske spørsmål om taushetsplikt og personvern, finner du her: https://www.gdprogtaushetspliktadvokaten.no/