GDPR- hvordan vil nye krav til personvern påvirke din bedrift?

Mange har fått med seg at det kommer en ny personvernlov som er gjeldende fra mai 2018. Men hva er egentlig den nye personvernloven, GDPR, og hvordan vil den påvirke din bedrift?

GDPR – hva er det?

The General Data Protection Regulation (GDPR) trer i kraft 25. mai 2018. Den kommer til å implementeres i alle lokale personvernlover i hele EU og EØS området og gjelder for alle bedrifter som behandler og lagrer personlig informasjon om europeiske statsborgere.

Personopplysninger omfatter all informasjon som kan relateres til en person, eksempelvis navn, bilde, e-postadresse, bankopplysninger, helseinformasjon eller IP-adressen til din datamaskin. Selv om du lagrer informasjon om kunder i B2B-markedet, vil den nye personvernloven også gjelde. Dette skyldes at, selv om det i B2B er selskaper man handler med, er det enkeltpersoner som håndterer forretningen. Målet med loven er at forbrukeren skal få økt makt og at ansvaret for riktig behandling av data legges på bedriften.

Hvilke konsekvenser får det for din bedrift?

Loven gjelder for alle bedrifter som prosesserer eller behandler store mengder data med personopplysninger. Dette innebærer at bedrifter får nye plikter de må forholde seg til. Bøtenivået for å bryte loven på alvorlig vis er meget høyt, opptil fire prosent av brutto omsetning, begrenset opptil 20 millioner euro.  Dermed er det lett å skjønne viktigheten av å sette seg inn i det nye regelverket. I tillegg vil berifter som bruker data på en riktig måte, kunne få konkurransefordeler fremfor andre.

Bjørn Erik Thon, direktør i Datatilsynet har laget en liste over hva din bedrift må gjøre for å møte det nye regelverket.

  1. Utred alltid personvernkonsekvensene av det man gjør: Dersom du skal implementere en ny IT-løsning, det være seg CRM-system, kundeprogram, en app, eller andre systemer, må risikoen vurderes. Deretter må man ha på plass rutiner for å redusere risikoen.
  2. Forhåndsdrøftelse ved høy risiko: Dersom du, i punkt 1, har kommet frem til at det er høy risiko, skal du gjennomføre en forhåndsdrøftelse med Datatilsynet.
  3. Bygg personvern inn i teknologien: Det finne flere gode løsninger som hjelper deg å bygge inn godt personvern i løsninger din bedrift benytter. Det kan være en automatisk sletterutine, anonymisering, kryptering eller gode innsynsrutiner.
  4. Skaff en personrådgiver: For mange virksomheter kan en personvernrådgiver være et nødvendig tiltak. Denne personen skal komme med råd og sørge for at at lover og regler for innebygget personvern blir fulgt. For alle offentlige etater blir dette pålagt når loven trer i kraft. I tillegg må bedrifter som bruker data til sporing eller har risikable behandlinger også ha dette.
  5. Avvikshåndtering: Dersom noe går galt, må det rapporteres til datatilsynet. Bedrifter har en 72 timers frist for å melde inn avvik til datatilsynet. Der skal hendelsesforløpet registreres og hva som er antatt skadeomfang.
  6. Internkontroll: Internkontrollen skal inneholde rutiner for hvordan man håndterer avvik, innsynsbegjæringer og hvordan man skal jobbe med personvernutredninger. Dersom Datatilsynet ønsker innsyn, er internkontrollen det første de vil etterspørre.
  7. Retten til dataportabilitet: Loven styrker individets eiendomsrett over egne data. Dette betyr at man har rett til å ta med seg egen data fra en bedrift til en annen.

Loven trer i kraft i mai til neste år, og det er ingen grunn til å vente med å kartlegge hvilke data man håndterer per i dag. Lovgivningen omfatter ikke bare IT, men også håndteringen av salgs- og markedsføringstiltak. Dersom din bedrift følger dagens lovkrav, vil det bli en langt lettere overgang til når de nye reglere trer i kraft. I tillegg vil det være fornuftig å sette seg godt inn i det nye regelverket. 

(Kilde: Oslo Business Forum)