– Hvem hadde trodd at en personvernlov skulle få mer oppmerksomhet enn Kim Kardashian?

Personvernforordningen har fått stor betydning for mange virksomheter som behandler personopplysninger. På dagen fem år etter at GDPR kom i EU inviterte Wikborg Rein til en bursdagsfrokost der vi delte erfaringer med både oppturer og nedturer samtidig som vi rettet blikket mot nye utfordringer knyttet til internasjonale dataoverføringer og kunstig intelligens.

På gjestelisten sto Datatilsynets direktør Line Coll og de to personvernjuristene Eirik Andersen fra Telenor og Siv Kristin Henriksen fra Oda. Samtalen ble ledet av vår partner Gry Hvidsten som leder personvernteamet i Wikborg Rein.

– Vi ser helt klart en økt bevissthet og personvernekspertise i samfunnet de siste årene sammenlignet med det vi så for seks-syv år siden, innledet Line Coll.

Coll var tidligere partner i Wikborg Rein og har jobbet med personvern i hele sin karriere.

Den 25. mai 2018, dagen da forordningen kom, vippet faktisk "GDPR" flere av popkulturens mest populære kvinner midlertidig ned fra tronen og endte med å toppe Googles søkeordstatistikk.

– Hvem hadde egentlig trodd at en personvernlov skulle få mer oppmerksomhet enn Kim Kardashian og Beyonce?, sa Coll.

Hun la til at selv om mye har gått bra, har det vært krevende å få til et godt operasjonelt personvern i virksomhetene, selv i store virksomheter som er compliance-drevne fra før.

– Det må være lov å si at GDPR-loven er veldig teoretisk, og at man kan lure på om de internasjonale lovgiverne noen gang har vært ute i det praktiske liv. Samtidig gir regelverket et godt grunnlag for mye godt personvern og vi kan få til magi sammen om juristene, utviklerne og designerne sitter sammen rundt et bord, sa Coll.

Et av Coll sine første prosjekter etter at hun tiltrådte som direktør for Datatilsynet handler nettopp om å tilnærme seg veiledningsoppdraget fra virksomhetenes perspektiv og bidra med mer avklaring av vanskelige spørsmål. Tilsynet skal bevege seg litt utpå kvisten i stedet for å sitte komfortabelt ved stammen – derav navnet prosjekt kvist.

Eirik Andersen i Telenor pekte på at selskaper sliter med å innfri de rigide kravene til overføring av personopplysninger etter den mye omtalte 'Schrems II'-dommen, og at en mer risikobasert tilnærming ville gjøre det mulig å fokusere ressursene på andre områder hvor tiltakene både kan få større effekt og gi et bedre personvern for individene.

Siv Kristin Henriksen fra Oda var enig i denne betraktningen. Hun pekte på utfordringen med at feil fokus i personvernarbeidet fort kan gi papircompliance i stedet for reell compliance og et faktisk bedre personvern.

– Jeg vil mye heller ha et produktutviklingsteam som faktisk bygger personvern inn i løsningene de bygger, enn at de har alt papirarbeidet på stell og så faller korthuset sammen bare man pirker borti det.

Andersen og Henriksen hadde gjort seg mange av de samme erfaringene: At man ikke kommer noen vei uten å ha med toppledelsen på laget, at personvern er et permanent arbeidsområde og ikke et prosjekt, og at man ikke bør stole på konsulenter som sier at de kan 'løse' GDPR for deg.

Noen forskjeller så de imidlertid også.

– Der jeg var investerte vi masse tid i automatiserte løsninger for håndtering av blant annet samtykke og sletting, og vi spurte oss flere ganger underveis om det var lurt å bruke så mye ressurser på dette. Dette tror jeg vi kan si at det faktisk var, sa Henriksen.

I Telenor opplevde de at løsninger som skulle ivareta registrertes rettigheter fikk utilsiktede resultater, som ikke hadde noe med personvern å gjøre. Vi opplevde en økning i antall innsynsbegjæringer da vi kommuniserte til brukerne våre at de kunne få en kopi av sine personopplysninger levert på en minnepinne. Etter å ha fått tilgang til opplysningene, var det imidlertid flere som ringte oss og lurte på hvordan de kunne slette dataene – det var nemlig den stilige minnepinnen de var interessert i, fortalte Andersen.

Alle de tre deltakerne var enige om at virksomhetene står overfor krevende utfordringer når det gjelder å ivareta personvernet fremover. Denne uken kom det frem at teknologiselskapet Meta ble ilagt en bot på hele 14 milliarder kroner for å ha sendt persondata om europeiske brukere av Facebook til USA. Selv om "vanlige" virksomheter i Norge overfører helt andre typer og mengder persondata til USA, så gjelder det samme forbudet for disse. Dette er en stor utfordring.

- Dersom vi etter hvert får en ny avgjørelse fra EU-domstolen på dette området, så hadde det vært fint om domstolen kommer med en avklaring som åpner for en mer risikobasert tilnærming, sa Coll.

Som siste punkt på agendaen var panelet innom kunstig intelligens og spørsmålet om det er lovgivning som GDPR eller retningslinjer på virksomhetsnivå som skal sikre at personvernet blir ivaretatt.

- Personvernforordningen gjelder på tvers og må derfor oppfylles også ved bruk av personopplysninger som del av løsninger som bygger på kunstig intelligens, sa Henriksen.

Panelet var enige om at selv om det kommer mer lovgivning fra EU – som "The AI- Act" – så vil dette være for lite for sent. Det er et behov for at virksomhetene selv følger opp på dette området.

- I Telenor jobber vi med egne policyer knyttet til anskaffelser for å sikre forsvarlig bruk av kunstig intelligens, sa Andersen.