Hopp til navigasjon Hopp til innhold
EUs nye lovverk kan bli en hodepine for selskap som venter for lenge. (Ill.: Johan Wedel)
BLOGG

Dette er loven som gir norske selskap panikk

Men hva er egentlig «General Data Protection Regulation»?

Du har kanskje allerede hørt om den nye personvernloven ført i pennen av EU som er ventet å tre i kraft 25 mai 2018: «General Data Protection Regulation», eller GDPR?

Dette er poenget
Intensjonen bak loven er at vi alle som privatpersoner skal ha bedre kontroll på de opplysningene vi gir fra oss, sikre personvernet vårt og gi økt beskyttelse mot misbruk fra ulike kommersielle eller statlige aktører som har annet enn mitt og ditt beste i tankene.

Det er en svært omfattende lov, men for hver enkelt av oss er dette i all hovedsak svært positivt.

Norske bedrifter henger etter
Men allerede før sommeren var Datatilsynet ute og advarte om at norske bedrifter var trege med å innføre de nødvendige endringene for å være i samsvar med den nye loven.

Nå som vi er kommet godt ut på høsten er det fortsatt mange som enten tror at loven ikke omfatter dem, eller som ikke tror at det blir særlige reaksjoner dersom man ikke bryr seg om å være «compliant». Flere større undersøkelser utført av private organisasjoner, inkludert en undersøkelse nylig utført av Proffdata blant bedriftsledere, viser fortsatt at mange ikke engang har startet planleggingen av hvordan de skal komme i samsvar med loven.

Og det er kanskje ikke så rart. For mange vil den nye loven virke ganske så overveldende og kan fremstå som svært omfattende og inngripende på flere områder i organisasjonen, blant annet ledelse, HR og IT – hvor spesielt sistnevnte står ovenfor store tekniske utfordringer.

Selv om forordningen fra EU er ferdigskrevet, er det fortsatt mange uklarheter om hvordan dette påvirker oss i praksis. Her er det et voldsomt arbeid på gang hos bransjeorganisasjoner og myndigheter, samt en egen arbeidsgruppe i EU, for å finne løsninger for det virkelige liv.

Bedriftene gjør lurt i å ikke forvente at noen skal komme som reddende engel i siste liten med alle løsningene man trenger, for det er allerede mye som er klart og uten tvil burde vært påbegynt allerede.

Loven gjelder alle
Først og fremst bør all tvil fjernes all, dette gjelder alle bedrifter. Eller for å presisere, den gjelder bedrifter som har noe som helst lagret som kan knyttes til en privatperson.

Det kan være informasjon knyttet til ansatte i bedriften, besøkende på hjemmesiden, kontaktinformasjon til personer hos leverandør, eller ulik data bedriften har lagret i forhold til kundene sine.

Så lenge man er i kontakt med slike opplysninger, og det gjelder uansett om bedriften er den som «eier» dem (behandlingsansvarlig) eller «behandler» dem (databehandler), må man ta grep i forhold til den nye loven.

Vi snakker altså ikke om en lov som kun gir noen nye juridiske formaliteter her, men om en lov som endrer hverdagen vår og hvordan vi forholder oss til personopplysninger.

Konsekvenser
Men hva da med konsekvensene dersom man ikke følger denne nye loven? Blir dette som da alle daglige ledere måtte ta et obligatorisk HMS-kurs, hvor det eneste man egentlig merket var en storm av svenske telefonselgere som skulle selge raske nettkurs med en truende undertone? Nei, det blir det ikke. For det første, dette er ikke noe et halvtimes kurs på nettet vil løse. For det andre er konsekvensene av å ikke følge loven potensielt enorme for dem som forsøker å bryte den.

Det ene er at størrelsen på bøtene Datatilsynet har mulighet for å ilegge har økt betraktelig. Fra tidligere har bøtene hatt en maksimal størrelse på 900 000 kroner, men under den nye loven er den enten 20 millioner euro eller 4 prosent av den globale omsetningen for fjoråret som gjelder, alt etter hva som er størst av de to – dersom saken er alvorlig nok.

Fantasitall? Ja det er mulig det, men at bøtene blir saftige er det ingen tvil om dersom man har gitt fullstendig blaffen. Men blir det oppdaget da, dersom man holder en lav profil? Bedriften kan vel samtidig dytte ansvar og skyld over på IT-leverandøren?

Lovbryterne blir avslørt
Vel, de som har skrevet loven har tenkt på dette. For det første, bedriften har et solidarisk ansvar dersom leverandøren bryter loven. Behandling av personopplysninger skal defineres i en databehandleravtale og det skal foreligge samsvarserklæringer, personvernerklæringer og mye annen dokumentasjon.

For det andre, hva med alle dem som kjøper tjenester eller produkter fra deg? Eller som er medlem av en kundeklubb eller nyhetsbrev?

Dersom kundene til bedriften ikke får innvilget innsyn, endring, portering eller sletting av registrerte opplysninger, som de har krav på innen 30 dager fra forespørselen er gjort, tar det nok ikke lang tid før alarmen går. Tør bedriften satse på at alle kundene deres ikke bryr seg om loven, og at ingen av dem varsler Datatilsynet? Eller at konkurrenter ikke vil benytte sjansen? For ikke å nevne at både statlige og private anbud i fremtiden vil inneholde krav om dokumentasjon på at bedriften er i samsvar med loven. Ingen ønsker velge en leverandør som bryter lovverket, spesielt ikke hvis man kan ende opp med solidarisk ansvar.

Å ikke ha «compliance» kan altså føre til store bøter, tap av anseelse, kunder og omsetning, erstatningsansvar overfor kunder ved datainnbrudd og en sterkt svekket konkurranseevne i markedet. Med andre ord, dette er et ansvar som berører ledelsen hardt.

Løsningen er kanskje ikke langt unna
Men for dere som føler seg spesielt truffet av den siste paragrafen, det er lys i enden av tunnelen. Dersom bedriften allerede følger den gamle personvernloven til punkt og prikke, og kanskje de strenge kravene som følger behandling av helseopplysninger, er de nye endringene overkommelige. Og fortvil ikke dersom bedriften ikke er best i klassen på dette per i dag, det er fortsatt tid til å ta grep.

Først og fremst bør ledelse og nøkkelansatte bli bevisst på den nye personvernloven og sette seg inn i det grunnleggende. Ikke forsøk å lempe alt på IT-sjefen og tvinge han eller henne til å bli en ekspert på personvern – sats heller på å danne en arbeidsgruppe i bedriften som ved behov kan hente inn spesialkompetanse. Det vil danne det første viktige steget på veien mot samsvar med den nye loven. Ellers kan det anbefales å følge med på Datatilsynets nettsider, hvor det hele tiden legges ut mye nyttig materiale og veiledere.

Følg med videre her på ITavisen i tiden fremover. Vi vil nemllig legge ut flere artikler med GDPR og personvern som tema, med nyttige tips og råd frem mot loven trer i kraft 25. mai 2018.

Johan Wedel

Johan er fagansvarlig for GDPR og personvern i Proffdata AS.

Han har høyere utdannelse innen programutvikling, dataetterforskning og informasjonssikkerhet.

Med mer enn 10 års erfaring fra IT-bransjen har han blant annet vært prosjektleder og utvikler hos Evry, DNB, Nordea og mange flere kjente organisasjoner.

Meninger og ytringer som kommer frem i bloggen er ikke nødvendigvis representativt for ITavisen.no sitt syn. Ønsker du å blogge på ITavisen.no? Kontakt redaksjonen: [email protected].

Stikkord: blogg, personvern