GDPR elektronisk adgangssystem.jpg

De nye felles personvernreglene i Europa, GDPR, fra mai 2018 betyr at du må kjenne til hva som skjer under panseret på adgangskontrollsystemet ditt.

Lagring, sikkerhetsbrudd og innsynskrav. Utfordringene kan stå i kø hvis du ikke setter deg inn i de kommende reglene for personvern i den nye Personvernforordningen - General Data Protection Regulation (GDPR).

Det gjelder også datatrafikken som adgangssystemet genererer. Les videre for inspirasjon til å håndtere den nye hverdagen.

Her er også nyttig kompetanse: Det du trenger å vite om lås- og adgangssystem

Viktige regler

Skyhøye bøter er kanskje det poenget som har fått mest oppmerksomhet i medienes omtale av GDPR. Brudd på bestemmelsene kan straffes med gebyrer opp til 4 prosent av den globale omsetningen til en virksomhet.

Nå skal det mye til for at du havner i trøbbel av slike monetære dimensjoner på grunn av feil håndtering av data knyttet til det elektroniske adgangssystemet. Det er imidlertid et signal om at du ikke skal ta lett på de nye reglene.

De er ennå ikke klare, men her finner du utkastet til den norske versjonen av personvernforordningen

Forsvarlig bruk

La oss fokusere på de praktiske tingene du må forholde deg til som ansvarlig for adgangssystemet. Her har jeg fått en del nyttig informasjon fra Datatilsynet, som opplyser at mye vil være som før de nye reglene trådte i kraft i mai 2018.

Et viktig prinsipp som videreføres er at trafikkdata som lagres i loggen til adgangssystemet ikke skal benyttes til andre ting enn det som er nødvendig for å opprettholde sikkerheten og avdekke feil i løsningen.

Liker du de juridiske detaljene, finner du dette i artikkel 6 nr. 1 bokstav f i det nye regelverket. Her heter det at «de legitime interessene til den behandlingsansvarlige overstiger ikke den registrertes interesser og rettigheter».

Med andre ord skal brukerne vite at du ikke misbruker informasjonen i loggen.

Se også sikkerhetssjefens egen temaside om lås- og adgangssystemer.

Databehandler

Den som eier adgangssystemet har ansvar for å følge regelboken gjennom en skriftlig databehandleravtale. I praksis kan du nok ha overlatt dette til en egen avdeling på huset. Noen velger å sette det bort til leverandøren av adgangssystemet eller annet driftsselskap.

Hvert ledd må beherske reglene for å håndtere trafikkdata, men det er eier som er ansvarlig for databehandlingen.

Fortvil ikke - her vil det komme en veileder fra Datatilsynet etter hvert.

Lagring

Skal du lagre trafikkdata om passeringene i et bygg, må du i det minste sørge for at det kun dreier seg om passeringer gjort med kombinasjon av adgangskort og pinkode. Det er bare da du har verifisert informasjon om hvem som har beveget seg hvor i bygget på hvilket tidspunkt.

Lagring av passeringer der kun kortet er benyttet, vil være verken nyttig eller lovlig.

I dag er den maksimale lagringstiden i praksis 90 dager. Så langt er det ikke avklart om det blir noen endringer, men Datatilsynet antar at ting blir som før.

Åpenhet

Dette er et sentralt element i GDPR. Når brukerne av adgangssystemet får tildelt adgangskortet, skal de samtidig få informasjon om hva slags data som samles inn og hva de skal brukes til. Og du må legge til rette for at de skal kunne se informasjonen som lagres om dem.

Her opplyser Datatilsynet at du må ha et system eller metode for å håndtere forespørsler om innsyn. Når en bruker tar kontakt, skal innsyn effektueres innen maksimalt 30 dager.

Nysgjerrighet

Hvor relevant er dette, da? Kan det være så interessant for brukerne å se oversikten over når de benyttet hvilken kortleser på jobben?

Mennesket er et nysgjerrig vesen. Selv om brukere allerede med dagens regler har rett til innsyn, kan dette få en del oppmerksomhet i forbindelse med at GDPR trer i kraft. Da er det smart å være forberedt på at en del vil ønske å få kunnskap om hva som er lagret om dem i adgangssystemets logg.

Hvis du ikke er i stand til å etterkomme innsynskravet, vil det skape enda mer nysgjerrighet og kunne øke presset om åpenhet. Derfor er det ryddig å rigge et system, slik at dette ikke skaper unødvendig arbeid og oppmerksomhet.

Retten til å bli glemt

GDPR har noen temaer som står veldig sentralt:

  • Retten til å protestere
  • Retten til å få rettet og slettet data
  • Retten til å bli glemt

Informasjon som blir lagret skal brukeren ha rett til både å protestere på og å få korrigert ved feil. I tillegg har han eller hun rett til å bli glemt, det vil si få slettet alle data.

Hensikten er at hver og en av oss skal ha en viss kontroll med mengden informasjon en virksomhet lagrer om oss og benytter til videre verdiskaping. Eksempler er betalingsinformasjon, besøkte nettsider og musikkpreferanser. Facebook og Google er de typiske storspillerne når det gjelder lønnsom viderebruk av slike personopplysninger.

Brukerne skal ha rett til å trekke tilbake sitt samtykke og få slettet alle spor hos slike aktører.

Du kan trygt huske

Disse rettighetene er derimot neppe relevante når det gjelder adgangssystemet ditt. Du må sørge for at brukerne får nødvendig informasjon om hva som lagres og hvor lenge.

Et krav om å trekke tilbake sitt samtykke eller få slettet trafikkdata før ordinær lagringstid utgår, vil nødvendigvis ikke nå frem her, ifølge Datatilsynet.

Årsaken er at du har et legitimt behov for å lagre disse opplysningene. Sikkerhetsaspektet ved dette vil antakelig trumfe den personvernulempen som brukeren mener å ha med registreringene som adgangssystemet foretar.

Kontrolltiltak

Adgangssystemet er å oppfatte som et kontrolltiltak, og da må kjørereglene for databehandlingen drøftes med de tillitsvalgte. Dette er allerede pålagt gjennom arbeidsmiljøloven (kapittel 9).

Og igjen er det åpenhet som gjelder. Informasjon om hvilke data som samles inn og hvordan de brukes kan gjerne postes på intranettet eller virksomhetens interne Facebook-side.

Gebyr

En slurvete holdning til kjørereglene kan føre til at det svir i lommeboka. Loggen med trafikkdata fra adgangssystemet skal ikke brukes til annet enn adgangskontroll og overvåking av systemene.

Hvis en egenrådig sjef finner ut at det er smart å koble overtidslistene med loggen for å kontrollere om arbeidstakere faktisk jobbet sent en kveld, er det et brudd som kan medføre gebyr fra Tilsynet.

For å oppsummere vil jeg peke på at GDPR skal beskytte brukerne mot overdreven dataovervåking. Samtidig hjelper de nye reglene deg til å bli en mer profesjonell databehandler.

Begrepsforklaringer

Behandling av personopplysninger

Enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.

Behandlingsansvarlig

Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Behandlingsansvarlig har ansvaret for at opplysninger behandles i tråd med personopplysningslovens krav.

Databehandler

Den som behandler personopplysninger på vegne av den behandlingsansvarlige. Databehandleren har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av behandlingsansvarlige. Databehandleren skal bare behandle personopplysninger i tråd med det som er avtalt med den behandlingsansvarlige.

Kilde: Datatilsynet

Gratis e-guide: Det du trenger å vite om lås- og adgangssystem Last ned nå