Hovedproblemet er at reglene er i overkant vanskelige å forstå
Innlegget er publisert i Finansavisen, 22. mai 2018.
Skrevet av Trond Ericson og Arve Føyen fra vår partner Føyen Torkildsen
Vi har mye å tape på å forhaste oss med innføringen av EU-forordningen. Det er ingen overgangsfase med GDPR: Reglene trer i kraft med en gang de er vedtatt. Derfor er det svært viktig at virksomhetene forstår konsekvensene av forordningen fra dag én. Brudd på den nye personvernforordningen vil kunne koste virksomheter dyrt. Bøtene, som Datatilsynet administrerer i Norge, kan bli ekstraordinært store: Opptil 4 prosent av årlig (global) omsetning for hele konsernet eller 20 millioner euro. For mindre alvorlige brudd utgjør bøter det høyeste av opptil 2 prosent av årlig konsernomsetning eller 10 millioner euro. Dersom personer lider tap som følge av at regler i GDPR er overtrådt, kan det kreves erstatning både fra behandlingsansvarlig og databehandler. Ansvaret rammer hele virksomheten. Det kanskje mest alvorlige over tid er likevel tap av renommé, med kundeflukt som mulig konsekvens.
La oss ta tingenes internett, der alt er koblet online. Dette er på mange måter en velsignelse, men når mange ting kobles opp til internett, vil også mye bli sårbart for datainntrengning. Skulle ulykken være ute, og man trenger akutt innleie av spesialister, blir det fort svært krevende. Varslingskostnadene vil bli enorme. Du må ha et stort apparat som skal håndtere en stor mengde samtidige telefonhenvendelser og eposter, samtidig som du er pliktet til å varsle alle personene som er rammet. Derfor er det viktig å få klarhet i hva det nye regelverket faktisk får av konsekvenser.
Selv om man leier inn ekstern spesialrådgivning, som i seg selv er fordyrende, har heller ikke «ekspertene» full kontroll over kompleksiteten i forordningen. Mye er overlatt til fortolkning som ennå ikke er avklart, og som heller ikke tilsynsmyndighetene har klart for seg. Det vil ta tid før man får svar i EU på de mange uklarhetene og det skjønnsmessige i forordningen. Tilbakemeldingene som kommer vil uansett bare være fortolkninger og veiledninger. Til syvende og sist er din og min tolkning nesten like mye verdt som Datatilsynets og Artikkel 29-gruppens tolkninger. Det lovpålagte personvernombudet i virksomheten pålegges også et stort ansvar. Ombudet skal forstå forordningen og rapportere avvik. Hovedoppgavene blir å si fra hvordan personvernet skal håndteres, og ombudet får en krevende jobb med å heve bevissthetsnivået i virksomheten. Skikkelig forankring tar tid.
Mange har sett på GDPR som et IT-prosjekt som kan håndteres av IT-avdelingen. Sannheten er at om man skal overholde det nye regelverket, må det innføres endringer i organisasjonen og hvordan personopplysninger behandles.
GDPR berører alle de viktigste forretningsmessige prosessene; Ledelse, salg, forretningsutvikling, HR og IT må ta inn over seg hva de faktisk må ta hensyn til. Det er imidlertid virksomhetens ledelse som til syvende og sist har ansvaret og kan bli stilt til ansvar av styret og generalforsamlingen ved lovbrudd.
Den norske implementeringen vil uansett ikke tre i kraft før forordningen blir innlemmet i EØS-avtalen, tidligst i juli, mest sannsynlig senere i høst. Vår anbefaling er at vi tar oss enda bedre tid. Norsk næringsliv kan tape stort hvis vi rusher forordningen. Bruk den tiden som er nødvendig, slik at virksomhetene får muligheten til å skaffe seg oversikt over konsekvensene av personvernforordningen og kan legge gode planer for innføringen.
Se også faksimile fra Finansavisen 22. mai 2018.
Devoteam Fornebu Consulting og Føyen Torkildsen har en helhetlig og smidig tilnærming til etterlevelse av GDPR. Ta kontakt med Thomas Heiskel om du vil vite mer!
