GDPR kan bli veldig dyrt hvis startups tenker på det for sent: Her er tipsene som kan redde deg fra gigantbøtene

Unge tech-selskaper mangler ofte kontroll på personvernet, skriver advokat og GDRP-ekspert Vebjørn Søndersrød, og peker på grepene for å unngå en kjempesmell når de blir større.

GDPR har vært gjeldende i over to år. Det har skjedd svært mye i Norge og Europa på denne korte tiden. Medieomtalen av høye gebyrer har vært stor, senest ved varsel om rekordgebyr til datingappen Grindr i Norge. I tillegg har Max Schrems fått nok en EU-dom oppkalt etter seg.

Basert på erfaring og myndighetspraksis så langt skal vi vise til noen områder der vi vet skoen trykker hos unge tech-selskaper med tilhørende tips til å redusere risiko.

Bruk, analyse og deling av data er sentralt for de fleste nye teknologiselskaper. I data vil det nesten alltid inngå personopplysninger og da blir GDPR straks et viktig tema. Det betyr at selskapet må vite hvilke data som behandles, hvor data kommer fra, hvem data deles med, hva data brukes til og at innsamling, bruk og deling har et lovlig grunnlag. I tillegg har personene hvis data behandles, krav på informasjon om dette. Vår erfaring er at tech-selskaper ofte ikke har god nok kontroll over dataflyt, samarbeidspartnere og tjenester, informasjonssikkerhetsvurderinger og vurdert lovlighet av behandling av personopplysninger. GDPR krever at selskapet skal vite og ha vurdert, og at selskapet kan dokumentere dette. Det er gjerne først i ettertid og gjerne som utslag av at noe har gått galt eller at kunder plutselig stiller krav eller at et tilsyn banker på døren at unge selskaper foretar disse vurderingene. Da har GDPR og informasjonssikkerhetsvurderinger og kartlegging en lei tendens til å bli veldig dyrt og lite lystbetont.

Dersom selskapet isteden gjør bevisste dokumenterte vurderinger og dokumenterer dataflyt fra oppstart og under utvikling av nye tjenester, blir gjerne kostnaden og risikoen lavere.

1. Dataflyt og aktører med tilgang til tech-selskapets data

Det første steget for å redusere risiko kan med fordel være å lage en oversikt over dataflyt eller oppdatere oversikten selskapet hadde. Hvilke personopplysninger behandler tech-selskapet? Hvilke databehandlere og tredjepartstjenester bruker tech-selskapet for å utvikle og drifte deres tjeneste? Kjøper eller mottar techselskapet data fra andre, hvem er disse og har disse hentet inn personopplysninger lovlig? (Kanskje særlig innenfor digitalmarkedsføring viser praksis at det slett ikke er sikkert at personopplysningene er lovlig innhentet, noe store aktører som MoPub (eid av Twitter) og AppNexus (i dag: Xandr) med stor sannsynlighet snart vil få kjenne på i Grind- sakskomplekset).

Videre, hvor geografisk behandler techs-selskapets samarbeidspartnere og tjeneste data, innenfor eller utenfor EU/EØS? Lag deretter dokumenter som viser denne oversikten og at tech-selskapet har gjort en grundig gjennomgang. Etter vår erfaring mangler nystartede selskaper ofte en ordentlig oversikt, og vi tror også mange vil oppdage ny informasjon om sin egen virksomhet og samarbeidspartnere og tjenester ved å gjøre denne kartleggingsøvelsen. En ordentlig oversikt vil tvinge frem oppfølgingsspørsmål om rettslig grunnlag for overføring og deling, samt om det er definert forsvarlige slettetidspunkter. God kartlegging og håndtering av funn vil i seg selv redusere faren for å havne i GDPR-vanskeligheter. Det er også et godt tips å undersøke hva dine databehandlere og tredjepartstjenester gjør med «dine» data. For enkelte av disse er forretningsmodellen å analysere eller gjenbruke «dine» data, hvilket ikke nødvendigvis er i tråd med GDPR og hvilket heller ikke nødvendigvis er i det unge tech- selskapets interesse.

2. Automatisk støtte for sletting

Sletting av personopplysninger når det ikke lengre finnes en god nok grunn til å beholde dem, er et viktig prinsipp. Vegvesenet og Fjellinjen har til sammenlikning blitt ilagt gebyr med NOK 4 millioner for manglende sletting, ved at deres system for registrering av bompengepasseringer rett og slett ikke hadde støtte for sletting. For techselskapene er det fornuftig å lage eller kjøpe systemer som støtter sletting og at tidsperiodene er konfigurerbare. Da unngår man å bruke dyr mennesketid på manuell sletting.

3. “Schrems II”-dommen og bruk av amerikanske eller amerikanskeide tjenester

Nye tjenester har ofte amerikanske tjenester i bunnen eller driftes ved hjelp av amerikanske tjenester som AWS, Microsoft, Google, eller for eksempel epostutsendelsesystemer, analyticstjenester eller CRM- og kundeoppfølgningstjenester. Dette har dessverre blitt en ordentlig juridisk hodepine for europeiske techselskaper. Som følge av EU-domstolens Schrems II er det grovt sagt i strid med EUs syn på beskyttelse av personopplysninger å la mange av de mest brukte amerikanske tjenestene behandle våre personopplysninger. Dette grunnet amerikansk overvåkningslovgivning. Lykkes man innføre tekniske tiltak som hindrer amerikanerne å lese innholdet av data, som kryptering hvor man selv alene har nøkkelen, er overføring likevel tillatt. Problemet er at kryptering ofte hindrer den amerikanske tjenesten å fungere, og da er problemet likevel ikke løst.

Klarer det unge techselskapet isteden å kjøpe skytjenester fra europeiske aktører, med europeisk lagring og behandling, vil dette løse problemet. Imidlertid er vår erfaring av norske aktører opplever at gode europeiske alternativer i liten grad finnes.

Slik sett fremstår timingen for unge tech-selskaper til å utvikle og selge anaytics-, skylagrings-, markedsførings- eller andre skybaserte tjenester eller apper som svært god nå. Bevisste kunder sitter nemlig akkurat nå og vurderer hvordan de skal unngå eller begrense overføring av personopplysninger til USA:

Det neste beste, og kanskje mer praktiske tiltaket, vil i alle fall være å inngå avtaler med den amerikanske leverandørens europeiske datterselskap og med garantert lagring og behandling av data i EU/EØS. Dette er ofte et mulig alternativ og hjelper en del.

4. Informasjonssikkerhet

Et annet GDPR-risikoområde er uvedkommendes tilgang til data, for eksempel etter et cyberangrep eller etter et mer tilfeldig (og vellykket) phishing-angrep. Får uvedkommende tilgang til personopplysninger og den unge tech-bedriften i tillegg kan beskyldes for for svak sikring av data, eller for å ikke ha dokumentert bevissthet rundt, og revisjoner av, informasjonssikkerhet, er risikoen for myndighetssanksjoner og misfornøyde sluttkunder stor.

Dette stiller for eksempel krav til at tech-selskapet lager gode kravspek’er for sikkerhet ved innleie av utviklere som skal lage en ny app eller tjeneste, at de underleverandører eller tjenester som velges, vurderes, og at selskapet er sikre på at «data in transit» mellom de ulike elementene som utgjør tjenesten, er tilstrekkelig sikret. Vår erfaring er at dette kan være krevende.

Samtidig er det umulig å helgardere seg mot at data kommer på avveie. Tech-selskapet stiller relativt sterkt dersom det finnes dokumentert oversikt og vurderinger, selv om det i ettertid kan hevdes at noen av disse hadde visse svakheter.

5. Adtech og sporing for markedsføringsformål

Frem til nå har en stor del av «gratis» internettjenester, sosiale medier og apper vært finansiert av innsamling av personopplysninger om sluttbrukere, sporing og analyse av sluttbrukere og ved deling og sammenstilling av disse data, til bruk for personalisert markedsføring. De mange aktørene involvert i dette har i mindre grad oversikt over hvilke kilder personopplysningene kommer fra eller hvem som ender opp med å bruke dem. Det er ikke kontroversielt å hevde at sentrale deler av adtech og sporing, slik dette har fungert, er et løpende GPDR-brudd. For Norges del slås det nå hardt ned på datingappen Grindr som har delt personopplysninger om seksuell legning, lokasjonsdata og øvrig sporingsdata med adtech-aktører. Dette uten at sluttbruker visste dette eller hadde samtykket til det på en GDPR-gyldig måte. Gebyret blir rekordhøyt, i sjiktet 100 millioner, og mottakere av personopplysninger fra Grindr er under pågående tilsynsetterforskning.

På toppen av dette kommer den nevnte “Schrems II”-problematikken og lovligheten av overføring av personopplysninger til USA. Den treffer adtech med full styrke.

For unge tech-selskap som samler inn personopplysninger for profilerings- og markedsføringsformål, herunder deling med andre, er det viktig å sørge for at innsamling og bruk er lovlig. I praksis betyr dette som regel å be den enkelte sluttbruker samtykke etter å ha blitt godt informert og å respektere sluttbrukere som ikke samtykker. For videredeling er det viktig å kontrollere at mottaker bruker personopplysningene lovlig og ikke deler videre til nye tredjeparter uten kontroll. Motsatt, dersom tech-selskapet selv kjøper eller får tilgang til andres datasett, er det også her viktig å kontrollere at disse datasett er lovlig samlet inn og lovlig kan brukes.

6. Eller bare unngå GDPR…

Oftere enn man skulle tro, trenger ikke tech-selskapet samle, analysere, langvarig lagre og videredele personopplysninger for å oppnå verdifulle datasett, forbedre tjenester eller øke topplinjen. I mange situasjoner vil anonymisering gi gode nok data, såfremt man er sikker på at datapunktene opprinnelig stammer fra et ekte menneske og et ekte menneskes handlinger, før de ble anonymisert. Ved anonymisering slutter GDPR å gjelde, og tech-selskapet står fritt til ubegrenset bruk, lagring og deling.