Hovedfokuset til bedrifter virker å være unngå bøter. Vi trenger en påminner hvorfor GDPR ble innført.
Personvernet har en helt annen plass i offentligheten nå enn tidligere. Mye av grunnen til dette er naturligvis innføringen av GDPR og økningen både i hyppighet og størrelse på bøter. Mange ser imidlertid ut til å glemme hva som var bakgrunnen til at GDPR ble innført. Et langt liv innenfor «Compliance» har lært oss at det er avgjørende for etterlevelsen å forstå hvorfor det aktuelle regelverket finnes, så la oss ta et raskt tilbakeblikk.
Det uttalte formålet til GDPR var blant annet å styrke og harmonisere personvernregelverket i EU. Bak dette ligger det en erkjennelse av at den teknologiske utviklingen hadde løpt ifra det daværende regelverket, noe som medførte et helt annet risikobilde. Mengden personopplysninger som samles inn om oss nå, samt mulighetene til å sammenstille disse og (mis)bruke de på, øker dag for dag, og det på måter som vi ikke alltid fullt ut forstår. Denne økte risikoen for personvernet, er forsøkt adressert med GDPR.
Misforstått risikobilde
Det at risikobildet innenfor personvern har økt, er rett nok noe de fleste har fått med seg. Vi mener imidlertid at risikobildet ofte blir misforstått. Vi ser at diskusjonene dreier seg om omdømmerisiko og store bøter. Når dette er fokuset, vil også tiltakene bli deretter. Utgangspunktet virker å være «hvordan kan man tjene penger på personopplysninger og unngå bøter og omdømmetap?» heller enn «hvordan kan vi bidra til et godt personvern?». Man trenger ikke gå lenger enn til Cookie-bannerne på de største mediehusene i Norge for å se et eksempel på dette.
Noen av innvendingene mot GDPR er at det er et komplekst regelverk. Det er viss sannhet i dette. Selv om regelverket skulle sørge for harmonisering av personvernet i EU viser praksis siden 2018 at dette ikke alltid er tilfelle. Og selv her i Norge er Personvernnemnda, som klageorgan, forholdvis ofte ikke enig med Datatilsynet. Vi skal heller ikke underslå at det finnes en del vanskelige problemstillinger. Likevel mener vi at personvern egentlig er ganske lett. Det handler i bunn og grunn om verdier og etikk.
Dersom man ser personvern fra et etisk standpunkt, vil vurderingene straks bli enklere. Vinkler man spørsmålet slik at det tar utgangspunkt i «hvordan kan vi sikre personvernet på best mulig måte i vår virksomhet», så blir det plutselig ikke så veldig vanskelig. Og på magisk vis vil man da plutselig se at man i de aller fleste tilfeller også etterlever regelverket.
Ofte to årsaker til at man ikke setter personvern først
Personopplysninger er «big business», noe virksomheter på ulike måter kan tjene store penger på, eller man setter effektivitet foran personvern. Fellesnevneren for disse to årsakene er en manglende forståelse av viktigheten av personvern. Det vil selvfølgelig være tilfeller hvor man må gjøre reelle avveininger mot andre legitime formål, men litt for ofte virker det som om personvern avfeies som «mindre viktig», noe som er mer en byrde enn et gode.
For at personvern skal ha en god fremtid mener vi at man må begynne å tenke annerledes om personvern. Vi må slutte å se personvern som en «byrde», eller noe som bare skal sjekkes av på en liste, og heller se på det som et verdivalg. Godt personvern er samfunnskritisk, og det er vårt felles ansvar. Den virksomheten som tar dette fullt inn over seg, og handler deretter, vil fort se at «GDPR-compliance» ikke er så vanskelig, det bare koster litt. Etterlever du GDPR unngår du både bot og bidrar til et bedre samfunn for alle, det burde ikke være noe å lure på.