De nye europeiske reglene om personvern får konsekvenser for deg som leverandør av adgangssystemer. Hvis du ikke behersker rollen som databehandler, kan det bety tapt salg.
Allerede fra mai måned må du forholde deg til den nye personvernforordningen General Data Protection Regulation (GDPR). Dette er et sett felleseuropeiske regler som setter brukerne i fokus:
- Brukerne skal vite at eieren av et datasystem ikke lagrer unødvendig mye informasjon om dem.
- Brukerne skal ha mulighet til innsyn for selv å kunne kontrollere hva som lagres.
Dette treffer eiere av elektroniske adgangssystemer, noe som berører deg som leverandør på flere måter:
- Eierne vil trolig ha behov for informasjon fra leverandøren om de nye personvernreglene.
- Leverandør med ansvar for driften av systemet har et del-ansvar for at data behandles i tråd med GDPR.
Her finner du grunnleggende informasjon: Lås- og adgangssystem for dummies
Avgjørende for kontrakten
Vi kan jo starte med å se på ansvaret knyttet til driften av adgangskontrollen. Her har jeg fått ganske konkret informasjon fra Datatilsynet:
GDPR spesifiserer at den som anskaffer et adgangssystem må undersøke om databehandleren kan utføre oppdraget. Det vil si å kunne levere på en betryggende måte både teknisk og organisatorisk.
Med andre ord:
Skal du levere en pakkeløsning med system og drift, er det ikke nok å skilte med den hyggeligste prisen. Du må også kunne etterleve kravene i GDPR.
Databehandler
Dette bekreftes gjennom en såkalt databehandleravtale mellom deg som databehandler og eier av adgangssystemet som behandlingsansvarlig. Datatilsynet er på trappene med en veileder som skal hjelpe deg med dette. Du får ikke et rent malverktøy, men en veiledning.
Varslingsrutinene ved avvik er et eksempel på hva du må beherske.
Skulle noen hacke loggen på jakt etter informasjon, skal Datatilsynet varsles. Da må du ha rutiner for å fange opp slike avvik og varsle behandlingsansvarlig - det vil si eier av adgangssystemet.
Og det er eier som skal varsle myndighetene.
Ansvar
Formelt har eier ansvaret for systemet og at data behandles korrekt. Selv om en virksomhet eller eiendomsselskap velger å sette driften av dette bort til en ekstern leverandør, blir ikke ansvaret outsourcet.
Men du går ikke fri, for det. Både du og kunden er solidarisk ansvarlig for regelbrudd som får negative konsekvenser for en bruker. I ytterste konsekvens vil alvorlige brudd på GDPR straffes med gebyrer på opp til fire prosent av den globale omsetningen til en virksomhet. Du har derfor alt å vinne på å finne ut hva du må kjenne til innenfor de nye personvernreglene.
Ansvaret ditt handler mye om å legge til rette for at eieren av systemet oppfyller kravene.
Som nevnt må du kunne avdekke datainnbrudd og andre typer avvik, slik at eier får oppfylt varslingsplikten. I tillegg må du naturlig nok finne årsaken til hendelsen og tette eventuelle sikkerhetshull.
Åpenhet
En mindre dramatisk oppgave er å sørge for nødvendig åpenhet om trafikkdata som lagres. Her angir GDPR åpenhet om hvem som er ansvarlig databehandler. Hvis du er hyret inn som en underleverandør, skal heller ikke det være noen hemmelighet for brukerne.
Og hvordan personopplysninger behandles skal være som en åpen bok for de berørte. De skal vite
- hva slags data om deres bruk av adgangssystemet som lagres i loggen
- hvor lenge informasjonen lagres
- hva som er hensikten med lagringen
Dette er oppgaver som eier har ansvaret for, men denne vil nok be leverandøren om støtte til både kompetanseheving og praktiske løsninger for åpenhet og innsyn.
Åpenheten kan løses så banalt enkelt som å legge de relevante delene av databehandleravtalen på kundens intranettside.
Innsyn kan kanskje være noe mer utfordrende. Datatilsynet opplyser at eieren av systemet også må ha en løsning eller metode for å håndtere innsynsforespørsler. Det skal ikke skje automatisk på sekundet, men senest 30 dager etter at en bruker kommer med en slik forespørsel.
Lagring
Og for å følge opp de tre punktene om åpenhet:
- I loggen skal det kun lagres trafikkdata om passeringer som er foretatt med både adgangskort og pinkode.
- Lagringstiden er formelt ikke avgjort, men Datatilsynet regner med at det blir en videføring av dagens praksis med maksimalt 90 dager.
- Hensikten med lagringen er å kunne bruke loggdata til å opprettholde sikkerheten og avdekke feil i løsningen - og ikke noe annet.
Som du forstår må du kunne litt av jussen for å bli vurdert som en seriøs leverandør av elektroniske adgangssystemer og tilhørende driftstjenester. Å ta for lett på GDPR kan få både praktiske og forretningsmessige konsekvenser.
Begrepsforklaringer
Behandling av personopplysninger
Enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.
Behandlingsansvarlig
Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Behandlingsansvarlig har ansvaret for at opplysninger behandles i tråd med personopplysningslovens krav.
Databehandler
Den som behandler personopplysninger på vegne av den behandlingsansvarlige. Databehandleren har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av behandlingsansvarlige. Databehandleren skal bare behandle personopplysninger i tråd med det som er avtalt med den behandlingsansvarlige.
Kilde: Datatilsynet
