Hvorfor har ikke alle kontroll på GDPR enda?

Det er mange årsaker til at en del norske bedrifter ikke har kontroll på GDPR.

For snart 3 år siden ble Personvernforordningen (GDPR) en del av Norsk lovverk. Vi skulle tro at norske bedrifter ønsker å følge loven. Men når det kommer til GDPR ser det ikke slik ut. Når jeg spør om de har kontroll på GDPR i sin bedrift, er svaret ofte at de mener de ikke trenger det.
«Vi lagrer ikke sensitiv informasjon, kun navn, mobilnummer og e-postadresse. Så da gjelder det vel ikke oss?» (Jo, det gjør det!) Når jeg følger opp med spørsmål om de ansatte, så er svaret ofte: «Hva med dem?»

Det ble gjort en undersøkelse* i 2018 og 2019 der 2256 beslutningstagere i 20 land ble spurt om de trodde de ville oppfylle alle GDPR krav innen juni 2018.
78% svarte at det skulle de klare. Da de samme ble spurt igjen i juni 2019, svarte kun 28% at de oppfylte GDPR kravene.
Min erfaring er at det ikke er veldig mange flere som gjør det nå heller...

Hvorfor er det sånn?

Det er mange årsaker til at en del norske bedrifter ikke har kontroll på GDPR. La oss starte med det åpenbare, ledelsen.
GDPR skal «eies» av ledelsen. Det er ledelsen som har ansvaret for at selskapet følger norsk lov.
Det er et lovbrudd å ikke etterleve Personvernforordningen. Brudd på lovverket kan i verste fall gi store bøter.
Ledelsen skal sette av nok ressurser internt og eventuelt hente inn ekstern hjelp for å sørge for at bedriften drives i samsvar med lovverket.
Ofte blir oppgavene sendt nedover i systemet, til folk som verken har tid eller interesse for temaet, og prosjektet strander før det har begynt.

Kompetanse

En annen årsak er mangel på kompetanse. Forordningen i seg selv er skrevet av, og for, de med juridisk kompetanse.
Det er store rom for tolkninger og bransjevariasjoner, noe som gjør forordningen lite håndfast og konkret.
Mange som blir GDPR-ansvarlig har ingen juridisk kompetanse eller interesse. De må nå sette seg inn i et nytt lovverk, et lovverk som til og med juristene er uenige om. Da er det ikke rart prosjektet strander.

Konsekvens

Hva om man ikke gjør noe? Hva skjer da? Da bryter man loven.
Det er Datatilsynet som håndhever lovverket. De bedriver ikke oppsøkende virksomhet, men undersøker der det har vært en anmeldelse.
En SMB bedrift blir sjelden anmeldt for brudd på lovverket av den enkle grunn at de ikke bryter det, eller de bryter det i mindre grad.
De selger ikke databasen sin til fremmede, de spammer ikke kundene sine med nyhetsbrev eller sjokk-tilbud, de har god IT-sikkerhet (gjerne hos en driftsleverandør) og de har lite eller ingen sensitiv informasjon lagret. De fleste bedrifter i Norge har det slik, og sjansen for å bli anmeldt eller kontrollert er minimal.
Men bryter du loven og blir anmeldt, og du da ikke har kontroll, da kan konsekvensen være enorm.

Lenge leve GDPR

Jeg håper at GDPR ikke er glemt i det norske bedriftsmarkedet, men at det bare tar litt tid å få det på plass.
Dette er viktig og gjelder din og min personlige informasjon.
Jeg ønsker å vite hvem som vet hva om meg. Jeg vil ikke at min informasjon skal brukes til å teste systemer, bygge markedsprofiler eller brukes på annen måte uten at jeg har gitt mitt samtykke.

Vi må heller ikke glemme at du som ansatt i et selskap også har rettigheter på lik linje som dine kunder.
Du har rett til å få innsyn i egen informasjon, rett til å få den slettet (etter en viss tid), sikret, korrigert og stoppet brukt.
Det skal være rutiner for ansettelser og avslutning av arbeidsforhold og du skal føle deg trygg på at ingen som ikke har rett til å se din informasjon ser den.

Er du i en bedrift som ikke har kontroll på GDPR enda?

Ta en titt på veilederne som finnes på Datatilsynet sine hjemmesider. Del opp elefanten, meld deg på et kurs og sett i gang å dokumentere rutinene.

*Risk: Value 2019, NTT Security
2256 beslutningstagere i 20 land i 17 sektorer. Norge er representert
500 + ansatte