Nyskaping

Advokat og personvernekspert i BDO, Henrik Dagestad.

Personvern ny vekstbransje i 2018

Publisert Sist oppdatert

– Jeg tror først og fremst mange små og mellomstore virksomheter sliter med å forstå hvordan de skal forholde seg til GDPR.

Det sier personvernekspert og advokat i revisjonsselskapet BDO, Henrik Dagestad.

25 mai innføres EUs nye personvernforordning (GDPR) i Norge og ifølge Dagestad er det mange som sitter og venter på at noen skal forklare dem hva de må gjøre.

– Noen venter på en bransjenorm, men sannheten er at også dette må de ta tak i selv, sier han.

Vekstbransje

Med nye regler kommer det nye oppdrag for konsulent- og advokatbransjen. Mens arrangementer om personvern kanskje engasjerte et titalls advokater for bare et par år siden, fylles i dag et typisk seminar om GDPR-tilpasning av hundrevis av advokater og andre eksperter som skal sørge for at virksomhetene er klare for regelendringene.

Advokat Eva Jarbekk ble nylig partner i Schjødt for å bygge opp en satsing på personvern. I en rekke bloggposter har hun advart mot at det nye regelverket åpner for gruppesøksmål i Norge ved at man har solidaransvar for ansatte og kunder.

Her er et scenario: En virksomhet med mange personvernopplysninger kan tenkes å måtte betale ut en erstatning på for eksempel 25.000 til hver eneste kunde i fall opplysninger blir hacket og kommer på avveie. Det kan fort bli dyrt.

Nå er det ikke mange juridiske eksperter som tror at gruppesøksmål vil komme til Norge med det første, men muligheten ligger der med GDPR.

Tre GDPR-punkt som raskt må på plass

Her er noe av det viktigste som bør være på plass i løpet av kort tid hvis man som virksomhetsleder ønsker å rekke tidsfristene.

1. En oversikt over alle personopplysninger som virksomheten behandler må nå settes inn i system. Du må skille mellom ulike kategorier personopplysninger og til hvilke formål opplysningene behandles. I en slik prosess bør både HR-, IT- og eventuelt juridisk avdeling kobles inn. Dette for å få den hele og fulle oversikten over dagens rutiner for behandling av personopplysninger og hvordan disse stemmer overens med det nye regelverket.

2. De enkelte behandlinger må også risikovurderes. Dette betyr blant annet at du må se på personvernrisikoen ved at informasjon kan komme på avveie.

3. Virksomheten bør avklare om de trenger et personvernombud. Alle offentlige virksomheter må i utgangspunktet ha et personvernombud. I tillegg må private virksomheter ha personvernombud når hovedvirksomheten består i å regelmessig og systematisk overvåke personer i stor skala eller der hovedvirksomheten består av behandling av sensitive personopplysninger i stor skala.

Risikoen har økt

Hvorfor må ledere ta tak i dette nå? Riktig håndtering av personlige opplysninger har alltid vært, så da trenger man kanskje ikke endre så mye? Den kanskje aller største endringen som kommer er bøtenivået. I verste fall vil overtredelse kunne innebære et gebyr på 20 millioner euro eller 4 prosent av omsetningen. I dag er maksgebyret på 10 G, eller 930.000 kroner. Dermed tvinges ledere til å i større grad vurdere risikoen ved å la ting være som det alltid har vært.

Fra sitt ståsted observerer Dagestad i BDO at oppmerksomheten rundt personvern har økt betraktelig.

– Forbrukerne kommer til å bli enda mer oppmerksomme på personvern og rettighetene sine fremover, sier han.

Dermed vil det stilles flere spørsmål til hvordan data håndteres.

Ønsker seg mer privatliv

NHH-professor Tor Wallin Andreassen skriver i en kronikk hos Dagens Perspektiv at han ønsker seg mer privatliv i 2018.

Han peker på at nettgigantene, og særlig Facebook og Google, har vokst til å bli som to monopol-grossister i brukerdata som gir dem unik innsikt i hva mennesker er opptatt av i store deler av verden.

«At de sammen med to andre tilsvarende selskaper – Amazon og Apple - er sentralisert i ett land med ett sett av lover og regler, gjør ikke saken bedre», skriver han.

GDPR

GDPR handler i all enkelhet om skjerpede krav til oversikt, behandling og kontroll med personopplysninger en virksomhet oppbevarer. Med andre ord må ledere vite hva slags personopplysninger som er lagret, hvilket grunnlag man har for å lagre dem og hva som gjøres for at ikke noe av det kommer på avveie. Dette gjelder informasjon om både kunder/brukere og egne ansatte.
Powered by Labrador CMS