Den 20. juli trådte den nye personvernforordningen (GDPR) i kraft i Norge. Den inneholder en rekke skjerpede regler for offentlige virksomheter og næringslivet og flere nye rettigheter for privatpersoner.

Før loven trådte i kraft ble det spådd mye om hvordan GDPR ville påvirke samfunnet. Knappe to måneder etter har Datatilsynet fått sortert sine første erfaringer.

– Det vi merker kanskje aller best er antallet avviksmeldinger vi får inn. Vi har fått inn rundt 700 hittil i år, en dobling fra totalen i fjor, sier Janne Stang Dahl, kommunikasjonsdirektør i Datatilsynet.

En avviksmelding er en varsling virksomheter har plikt til å sende Datatilsynet innen 72 timer etter at et brudd på personopplysningssikkerheten er oppdaget.

– Vi er fornøyde med dette, det betyr at mange er engasjert i å følge reglene og at bevisstheten har økt, sier Stang Dahl.

Egen innsatsgruppe

Datatilsynet har satt ned en innsatsgruppe som analyserer meldingene og jobber med å utvikle videre praksis ut fra det som er kommet inn. Arbeidet foregår også på tvers av alle EU-land hvor GDPR nå er trådt i kraft.

– Det er ennå ikke fattet noen vedtak under den nye lovgivningen, men vi har fått inn noen større saker som kan resultere i overtredelsesgebyr, selv om det er for tidlig å si noe om dette. I løpet av et par uker vil trolig de første vedtakene være klare, sier Stang Dahl.

GDPR gir rom for å utstede overtredelsesgebyr oftere og strengere enn tidligere. I verste fall kan man bli ilagt en bot på inntil 20 millioner euro eller fire prosent av fjorårets omsetning, hvis denne er høyere enn 20 millioner euro. Et lavere bøtenivå er halvparten av dette.

En av disse sakene dreier seg om Bergen kommune og eFeide, den felles påloggingsløsningen skolene bruker for elever og ansatte.

En elev hadde oppdaget feil i sikkerheten i eFeide og varslet om dette. Da det ikke ble rettet opp, logget han seg inn med rektors pålogging og dokumenterte at han fikk tilgang til personopplysninger på administratornivå. Feilen rammer 35.000 brukere, de fleste mindreårige, i Bergen kommune.

De fleste avvikene er langt mindre omfattende. Det er ofte snakk om at utsendelser har nådd feil mottager slik at opplysninger om en person har kommet i feil hender. Det kan være alvorlig for den det gjelder, men det er i mange tilfeller blitt raskt håndtert av virksomheten slik at konsekvensene begrenses.

Økt bevissthet

– Innsatsgruppen jobber nå med å etablere en praksis for hvilket nivå de ulike avvikene skal behandles på, i en del tilfeller er nok avviksmeldingen overflødig også, men virksomhetene er tydelig opptatte av å overholde tidsfristen for å varsle, sier Stang Dahl.

Antallet avviksmeldinger viser at næringslivet tar GDPR på alvor, mener Datatilsynet. Men de ser også at den nye lovgivningen har økt bevisstheten ellers i samfunnet.

– Vi ser helt klart en generell effekt av GDPR. Bevisstheten rundt personvern har økt og flere er nå mer oppmerksomme både på eget og andres personvern. Og det er jo en effekt vi hadde håpet på, sier Stang Dahl.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.

Fikk nok av å se «glattceller bli solgt over takst» – dro på visning i flytende bolig
– Kan fungere som dame- eller herremagnet, sier Ivar Fredrik Mølmen (28).
01:47 Min
Publisert: