Logo for print

14. april 2016 vedtok EU-parlamentet en ny personvernforordning, General Data Protection Regulation (GDPR) som vil være gjeldende fra 25. mai 2018 i hele EU og erstatte EUs personverndirektiv fra 1995. Norge og de andre EØS/EFTA-landene vil ha samme gjennomføringsfrist, med mindre annet fastsettes ved innlemmelse i EØS-avtalen.

En forordning er en EU-lov som i motsetning til et direktiv, vil gjelde direkte i EUs medlemsstater uten unntak. 

I Norge vil forordningen erstatte personopplysningsloven og tilhørende forskrifter.

Hva kan du gjøre mens du venter på ny personvernforordning?

Den nye forordningen skal bidra til sterkere personvern og informasjonssikkerhet ved behandling av personopplysninger. Hver virksomhet som behandler personopplysninger har ansvar for at dette til enhver tid skjer i henhold til gjeldende regelverk.

Dersom din virksomhet allerede følger gjeldende regelverk, er du godt rustet i forkant av den nye personvernforordningen. Dette gjelder også det mye omtalte bøtenivået.

For virksomheter som ikke følger dagens regler, er det viktig at dere oppfyller dagens krav.

Oppgaven med å øke bevisstheten rundt personvern og informasjonssikkerhet er hele organisasjonens ansvar. Det betyr at både ledelsen og ansatte må ta personvern og informasjonssikkerhet på alvor.

Huskeliste:

  • Skaff deg oversikt over all behandling av personopplysninger i din virksomhet.

  • Sett deg inn i dagens regelverk, da vil du være på god vei.

  • Jobb med å øke bevisstheten om personvern og informasjonssikkerhet i din organisasjon.

  • Involvere ledelsen i arbeidet med personvern og informasjonssikkerhet

Hva vil endres?

Forordningen består av 99 artikler og 173 fortalepunkter, og inneholder oppdaterte nye regler som bygger på grunnprinsippene som er nedfelt i EUs personverndirektiv, samt klargjøring av flere rettigheter som er etablert gjennom europeisk rettspraksis.

Borgere skal ha mer kontroll over egne opplysninger og enklere tilgang til dem. Personopplysninger må beskyttes - uansett hvor de er sendt fra, behandles eller lagres. Reglenes virkeområde er dermed betraktelig utvidet, slik at reglene omfatter også virksomheter etablert utenfor EU som tilbyr varer eller tjenester til EU-borgere. Regelverket vil også omfatte virksomheter som er etablert i tredjeland som overvåker adferden til EU-borgere.

De nye reglene omfatter blant annet bestemmelser om:

  • Retten til å bli glemt: en styrket sletteplikt

  • Retten til å få informasjon om sikkerhetsbrudd

  • Retten til å overføre personopplysninger til annen tjenestetilbyder (dataportabilitet)

  • Retten til å få behandlingen begrenset

  • Retten til å motsette seg en behandling

  • Retten til å motsette seg profilering og automatiserte avgjørelser

  • Vilkår for samtykke og vilkår som gjelder barns samtykke

  • Strengere krav til internkontroll

  • Innebygd personvern (privacy by design and by default): personvern bygges inn i tjenester og løsninger fra tidligste fase av utviklingen, personvernvennlige standardinnstillinger vil bli normen

  • Gjennomføring av risiko- og konsekvensutredninger: databehandlingsansvarlige har større ansvar for å gjøre selvstendige vurderinger av personvernkonsekvenser og identifisere risikoreduserende tiltak

Norsk høring

Justis- og beredskapsdepartementet (JD) er i Norge formelt ansvarlig for implementeringen av forordningen mens Kommunal- og moderniseringsdepartementet (KMD) er ansvarlig for deler av personvernlovgivningen (personopplysningsforskriften).
Datatilsynet bistår JD og KMD i arbeidet med å gjennomføre forordningen i norsk rett.

JD har foreslått å inkorporere forordningen i norsk lov gjennom en henvisningsbestemmelse. Enkelte artikler i forordningen gir rom for utfyllende bestemmelser i norsk lovgivning. I denne sammenheng vil JD gjennomgå særlovgivningen for å harmonisere den med forordningen. I høringsnotatet er det gitt uttrykk for at forordningen i hovedsak viderefører de sentrale prinsippene og reglene i gjeldende norsk personvernlovgivning.

Det er fortsatt uklart om det vil komme sektorregelverk for helse- og omsorgsektoren.

Høringsnotat om gjennomføringen av forordningen i norsk rett (PDF) 

Direktoratet for e-helses høringsuttalelse - forslag til ny personopplysningslov

Mer informasjon om implementeringen av ny personvernforordning i norsk rett (regjeringen.no).

GPDR-prosjektet i Direktoratet for e-ehelse

Direktoratet for e-helse har et pågående prosjekt med formål å gjøre de nødvendige forberedelser for innføring av EUs personvernforordning i 2018. Dette vil si at vi gjennomgår vår behandling av personopplysninger i de nasjonale e-helseløsningene (kjernejournal, e-resept, grunndata og helsenorge) og direktoratet for øvrig, for å vurdere behov for eventuelle tiltak i egen virksomhet og de nasjonale e-helseløsningene.

I tillegg vil direktoratet i dialog med Helse- og omsorgsdepartementet se hvordan vi kan hjelpe virksomheter i helse- og omsorgsektoren med å forberede seg på ny personvernlovgivning. Vi vil frem mot mai 2018 publisere veiledning og annen informasjon rettet mot helse- og omsorgssektoren på ehelse.no.

Samarbeid på tvers av landegrenser

Virksomheter som er etablert i flere land i Europa vil forholde seg kun til én nasjonal lovgivning og én enkelt kontrollmyndighet (one-stop-shop). Personvernmyndighetene må samarbeide om å utveksle erfaringer og informasjon over landegrensene. Dette vil sikre at de samme regler gjelder for alle bedrifter uansett hvor de er etablert.

Et felles europeisk datatilsyn (European Data Protection Board - EDPB) skal følge opp at reglene fungerer harmonisert. Tilsynets praksis vil ha stor betydning også for Norge.

Fullstendig forordningstekst (PDF)

Sist oppdatert: 8. desember 2017

​Fant du det du lette etter?​