Tre advokater deler sin innsikt om hvordan bedrifter kan møte juridiske utfordringer knyttet til GDPR i en digital verden preget av økende cybertrusler. De forklarer konsekvensene av brudd på GDPR-regler ved datainnbrudd og hvordan nye teknologier som kunstig intelligens og blockchain påvirker kravene til personvern og cybersikkerhet.
Eirik Sandal
Partner, Law.no
Hva er de største juridiske utfordringene bedrifter står overfor når det gjelder etterlevelse av GDPR i en digital verden preget av økende cybertrusler?
Tiltak for digital sikkerhet er en legitim interesse enhver virksomhet har under GDPR, noe som fremgår klart av fortalen til forordningen. GDPR oppfordrer sånn sett virksomheter til å implementere sikkerhetstiltak som beskytter mot digitale trusler.
Hensiktsmessige sikkerhetstiltak er derfor en forutsetning for godt personvern. På den andre side kan visse sikkerhetstiltak utfordre personvernet i bedriften i stor grad. Dette gjelder særlig tiltak som involverer overvåkning av eksterne trusler, som ofte krever omfattende overvåkning av PC-er, nettbrett og mobiltelefoner som ansatte bruker i arbeidet sitt. Bedrifter må derfor balansere behovet for sikkerhet med ansattes rett til personvern, og sikre at tiltakene er i samsvar med GDPRs prinsipper om eksempelvis dataminimering og proporsjonalitet.
Kan du forklare hvordan brudd på GDPR-regler kan påvirke en virksomhet, både juridisk og økonomisk, i tilfelle et datainnbrudd?
I verste fall kan virksomheter få bøter av Datatilsynet. Vi har likevel ikke sett så mye av det enda, gitt at virksomheten ellers behandler personopplysninger på en lovlig måte. Et eksempel på dette er Norkart sitt store datainnbrudd, hvor blant annet fødselsnummeret til svært mange individer kom på avveie. Norkart fikk ingen økonomiske reaksjoner fra Datatilsynet, men slike hendelser kan føre til tap av tillit og omdømme – og betydelige operasjonelle kostnader.
Den juridiske og økonomiske risikoen kan endre seg nå som svært mange virksomheter vil omfattes av NIS-direktivet og DORA-forordningen, som vil stille nye og til dels svært strenge krav til sikkerhet og beredskap.
Hvordan påvirker innføring av nye teknologier, som kunstig intelligens og blockchain, kravene til GDPR og cybersikkerhet?
Kravene innen GDPR og cybersikkerhet er for det meste teknologinøytrale, så det har ingen påvirkning på kravene. Samtidig er det viktig å ikke glemme kravene som følger av arbeidsmiljøloven! En høy grad av modenhet innenfor personvern, teknologi og tillitsfull ledelse er det som er essensielt når ny teknologi skal tas i bruk i virksomheten.
Vi skaper verdier for våre klienter. Så enkelt og samtidig så utfordrende er vår store idé!
Petter Enholm
Senioradvokat, Managing Associate Advokatfirmaet Hjort AS
Hva er de største juridiske utfordringene bedrifter står overfor når det gjelder etterlevelse av GDPR i en digital verden preget av økende cybertrusler?
Den økende digitaliseringen av samfunnet åpner bedriftens it-systemer og -prosesser mot verden. For virksomheter innebærer dette økt sårbarhet ved at bedriften på den måten åpner kanaler (angrepsvektorer) som trusselaktører kan benytte.
Personvernregelverket oppleves av mange som uoversiktlig. Kravene til informasjonssikkerhet kan være vanskelige å forstå. Mange benytter seg av leverandører for databehandling. Å sikre at leverandørene også etterlever GDPR, og ivaretar egnet informasjonssikkerhet kan være utfordrende. Gode databehandleravtaler er derfor viktig.
Sikkerhetstiltak kommer tidvis i konflikt med personvernprinsipper. Blant annet ved overvåkning av bedriftens nettverk og it-systemer. Man må derfor balansere kravene til sikkerhet og god ivaretakelse av ansattes personvern.
Kan du forklare hvordan brudd på GDPR-regler kan påvirke en virksomhet, både juridisk og økonomisk, i tilfelle et datainnbrudd?
Personvernbrudd kan innebære en rekke konsekvenser for en virksomhet. Datatilsynet skal varsles innen 72 timer etter man ble kjent med bruddet. Samtidig må virksomheten både avdekke og stenge årsaken til personvernbruddet og få en oversikt over bruddets omfang. Berørte personer må ofte også varsles.
Oppdager Datatilsynet at virksomheten har brutt personvernregelverket kan de, avhengig av sakens omstendigheter, gi advarsel, pålegge endringer eller utstede overtredelsesgebyr.
Personvernbrudd kan gi alvorlig omdømmetap, som i seg selv kan føre til tap av kunder, gjør det vanskelig å tiltrekke seg nye kunder. Tilliten i investormarkedet vil også svekkes.
Hvordan påvirker innføring av nye teknologier, som kunstig intelligens og blockchain, kravene til GDPR og cybersikkerhet?
Sikkerhetsmessig åpner kunstig intelligens for nye muligheter for trusselaktører til å angripe virksomheter. Men gir samtidig også virksomheter gode muligheten til å benytte de samme verktøyene for å styrke cybersikkerheten.
Kunstig intelligens representerer utfordringer for personvernet grunnet muligheten til å samle inn, analysere og utlede faktiske forhold basert på store mengder persondata. Samtidig er GDPR teknologinøytral og gir etter vårt syn et robust rammeverk for å ivareta registrertes rettigheter ved behandling av personopplysninger i kunstig intelligenssystemer.
Ønsker man å ta i bruk kunstig intelligens, må det gjøres nøye vurderinger knyttet til om og på hvilken måte man kan trene en modell med virksomhetens personopplysninger.
Vi bistår våre klienter med rådgivning innen personvern, informasjonssikkerhet og kunstig intelligens.
Ove Andre Vanebo
Assosiert Partner CMS Kluge
Hva er de største juridiske utfordringene bedrifter står overfor når det gjelder etterlevelse av GDPR i en digital verden preget av økende cybertrusler?
GDPR stiller krav om en helhetlig oppfølging for å beskytte personopplysninger. Her mangler det ofte kunnskap og bevissthet om hvor mye som må gjøres, og etterlevelsen blir ofte preget av enkeltsituasjoner eller «klatting».
Risikobildet endres også raskt, og risikovurderingen som ble laget i fjor er kanskje ikke lenger aktuell. Hvis kartet ikke lenger stemmer overens med terrenget, er det lett å trå feil – og bli offer for nyeste trussel.
Kan du forklare hvordan brudd på GDPR-regler kan påvirke en virksomhet, både juridisk og økonomisk, i tilfelle et datainnbrudd?
I verste fall kan jo hele virksomheten nedlegges hvis for eksempel all kundedata forsvinner eller «låses» av hackere. Men virksomheter må huske at også omdømme er viktig for business. Hvis det går virkelig galt, kan det i tillegg bli mange millioner i gebyrer fra Datatilsynet og erstatningskrav fra personer som er registrert i systemene.
Det er derfor viktig at relevante tiltak er på plass og kan dokumenteres. Ofte har virksomheter gjort mye fornuftig, men klarer ikke å forklare hvordan eller hvorfor de har gått frem på en bestemt måte. Det fører fort til «glipper» som fiendtlige aktører kan utnytte.
Hvordan påvirker innføring av nye teknologier, som kunstig intelligens og blockchain, kravene til GDPR og cybersikkerhet?
Det nytter ikke lenger kun å håndtere jussen; skal du gi gode råd må du også forstå datateknologi og informasjonssikkerhet. Selv har jeg brukt de siste årene på videreutdanning innenfor blant annet AI og cybersikkerhet. Vi må i større grad «plukke fra hverandre» hva som skjer, for å forstå hvordan trusler kan oppstå og hvordan data brukes. Nå kan du kjøpe «Hacking-as-a-service» på Dark Web, betale med kryptovaluta, og la kunstig intelligens utføre angrepet.
Blockchain skaper flere utfordringer, fordi det kan bli umulig å etterleve «retten til å bli glemt», og det kan være uavklart hvilke roller ulike aktører involvert i teknologien har. Mye data vil også befinne seg flere steder, og det kan være uklart hvilke lover som regulerer blockchain.
CMS er en fremtidsrettet organisasjon av uavhengige advokatfirmaer. Vi kombinerer lokal bransjeforståelse med et globalt perspektiv.
