Nye personvernregler gir nye forretningsmuligheter

Brukernes bevissthet rundt personvern øker, og om få år vil de aller fleste ta retten til dataportabilitet for gitt.

I dag er det under 350 dager til den nye personvernforordningen GDPR trer i kraft i EU 25. mai 2018. Det nye regelverket har fått mye oppmerksomhet, og det med en god grunn. Regelverket er sektorovergripende, og berører i prinsippet alle norske virksomheter. 

Jens Christian Gjesti (Kvale Advokatfirma), Preben Gustavsen (Sopra Steria) og Tor-Ståle Hansen (Sopra Steria)

For mange virksomheter, og særlig de som er rettet mot forbrukermarkedet, vil det være viktig å sette seg grundig inn i regelverket – både for å forstå hvilke juridiske nyvinninger og endringer som vil være av betydning, men også for å danne en bevissthet og utforske hvilke forretningsmuligheter de nye personvernreglene kan gi. Et sterkere personvern legger ingen begrensninger på dette, snarere tvert imot. Det er ingen motsetning mellom digitalisering av samfunnet og et sterkt personvern.

De siste månedene har fremtredende rådgivere fremstilt personvernforordningen som noe norske virksomheter bør frykte. Vi har blitt advart om både enorme bøter, gruppesøksmål og personlig styreansvar. Men er det egentlig dette næringslivet trenger å vite om de nye reglene? Vi mener svaret er nei.

La oss avlive noen populære myter om de nye personvernreglene:

  1. Personvernforordningen er et moderniseringsprosjekt, ikke et ’nybygg’.
    (Mange av de viktigste kravene gjelder allerede i Norge i dag.)
  2. Høye bøter er mest aktuelt for de som ikke har startet prosessen, – ikke de som prøvde, men kanskje feilet.
  3. Personvernforordningen er en forretningsmulighet, – ikke en hemsko.
  4. Den nye personvernforordningen er et virksomhetsansvar, ikke et IT-ansvar.

Det er de virksomhetene som er best på personvern som vil stå igjen som vinnerne, og som vil ha et tydelig konkurransefortrinn. Borgerne i samfunnet skal ha en berettiget tillit til digitale tjenester. En vesentlig del av de nye personvernreglene hviler på dette formålet. I denne sammenhengen er det et uttalt mål fra EU-Kommisjonen at borgerne skal ta tilbake eierskapet til sine egne data. Her ligger det helt åpenbare forretningsmuligheter som næringslivet kan ta seg nytte av. Tillit og godt omdømme hos kundene er nøkkelordet.

Brukernes bevissthet rundt personvern øker

Forsikringsprodukter basert på persondata er et åpenbart eksempel hvor dette blir viktig. Forsikringsselskapene kjemper om de samme kundene, og kundene vil etter hvert kjenne verdien av sine egne data og kreve at de plasseres der de får best pris. Det er heller ikke utenkelig at enkelte vil selge opplysninger om seg selv for å oppnå fordeler og mer relevant direkte markedsføring. Henger man etter her vil kundens tillit henge i en syltynn tråd.

Krav om sletting av personopplysninger og opphør av kundeforholdet kan bli konsekvensen. Brukernes bevissthet rundt personvern øker, og om få år vil de aller fleste ta retten til dataportabilitet for gitt. Dataportabilitet betyr at dersom noen behandler personopplysninger basert på samtykke, for eksempel for å oppfylle en avtale med den registrerte, kan den registrerte kreve å ta med seg opplysningene sine til en annen virksomhet.

Internasjonale selskap går en enklere hverdag i møte

Nye forretningsområder vil kunne komme i fremtiden, som for eksempel formidling av verifikasjon av personidentitet i form av digital ID, som BankID med flere. Mange virksomheter vil se at de ikke trenger hente inn mengder med persondata, de aller fleste trenger kun en ID-verifikasjon.

Virksomheter som er etablert i flere land hvor forordningen blir gjeldende, går også en enklere hverdag i møte når det gjelder internkontroll og etterlevelse av regelverk. Med andre ord så blir personvernet harmonisert. I dag opplever mange det som komplisert å sikre samsvar med nasjonale lovverk basert på gjeldende personverndirektiv som personopplysningsloven bygger på, siden det ikke er lik implementering i alle land.

Det neste året vil være tiden for å gjennomføre en rekke organisatoriske, strategiske og forretningsmessige grep for mange norske virksomheter. Denne perioden bør brukes på å utforske mulighetene som ligger i de nye personvernreglene, samt innarbeide nødvendige rutiner som sikrer etterlevelse av regelverket.

Dette innlegget var først på trykk i Computerworld 7. juni 2017.

Spørsmål til egenvurdering

  • Har vi aktiviteter eller prosesser som behandler personopplysninger?
  • Har vi tredjeparts leverandører eller partnere som behandler personopplysninger?
  • Har vi en rolle, som ikke er Chief Information Security Officer (CISO), som kan operere som Data Protection Officer (DPO)?
  • Reflekterer vi over, og er vi transparente med tanke på eksponeringsrisikoen i egen organisasjon?
  • Hvordan sikrer vi at nye forretningsprosesser blir risikovurdert eller gjennomgår en Data Protection Impact Assessment( DPIA)?
  • Er vår brukeravtale i tråd med de nye kravene?
  • Har vi full oversikt over dataflyten i våre datasystemer, datalagring og arkivering?
  • Har vi gjort en full dokumentert vurdering av retten og nødvendigheten til at vi bruker og lagrer personopplysninger?
  • Er vi i stand til å oppfylle kravet om retten til å bli slettet?
  • Er vi i stand til å oppfylle kravet om dataportabilitet?
  • Har vi tilstrekkelige verktøy, systemer og metoder til hurtig nok å fange opp endringer i regulatoriske data, forretningsprosesser, styringssystemer med mer?
”Personvernvettreglene”

  1. Planlegg og sørg for en bred bevissthet internt i hele organisasjonen.
  2. Tilpass virksomhetens aktiviteter og prosesser ut fra hva som er nødvendig.
  3. Vis hensyn og respekter personvernet, husk det skal være en fair grunn til at du behandler persondata.
  4. Vær forberedt på personvernbrudd, helst der du minst forventer brudd.
  5. Sørg for at organisasjonen er sikret med de riktige verktøyene og prosessene, og se til at de generelle aktivitetene og prosessene er ivaretatt først før du jobber videre ned og ut i andre systemer og organisasjonen forøvrig.
  6. Gjør gjennomtenkte og veloverveide beslutninger. Orienter deg med hensyn til kjente svakheter og smutthull.
  7. Sørg for å ha en oppdatert og kontinuerlig oversikt over aktiviteter og prosesser som berører personvernet.
  8. Reager i tide, etabler så god oversikt over de persondataene din virksomhet behandler at frister for rapportering og lignende er lett å overholde.
  9. Etabler en god praksis, system og metodikk, og spar din organisasjon for ad-hoc aktiviteter og unødvendig ressursbruk.

 

Tor-Ståle er Consulting Manager og Solution Lead GRC i Sopra Steria ITSM Advisory. Tor-Ståle har tidligere vært Chief Engineer GRC & Compliance Systems, produkteier, prosjektleder, internrevisor, arbeidet med regelverksutvikling og regelverksrevisjon mm. Tor-Ståle har også erfaring som gründer og utvikler av neste generasjons GRC metodikk og GRC systemer, samt utviklet innovative og nye måter å løse komplekse utfordringer på. Tor-Ståle har også erfaring fra roller som arkitekt, database design, graf-modellering, funksjonell leder, UI, UX og grafisk design, og han har nesten 25 års erfaring innen metode- og systemutvikling for virksomhetsstyring, risiko og etterlevelse, revisjoner innen både private- og offentlig virksomhet. Herunder for eksempel fra hi-tec, QHSE, IKT, luftfart, folkehelseadministrasjon, olje og gass, sub-sea operasjoner, EPCI og større CAPEX-prosjekter.

Legg inn en kommentar