28. mai 2018
Denne uken skulle ny personvernlov vært innført:
Hele tre av fire mindre virksomheter i Norge er lite eller bare noe forberedt på EUs nye personvernforordning, som etter planen skulle vært norsk lov fra 25. mai i år. Nå kan innføringen tidligst skje i juli.
Det er en lederundersøkelse kompetansehuset BDO har fått utført som viser at mange virksomheter ikke er der de bør være med tanke på GDPR.
– Nå har mange fått en ekstra mulighet til å forberede seg, og den bør de benytte godt. Millionbøter og erstatningsansvar, både for feil i egen virksomhet og hos underleverandører, kan i verste fall få store økonomiske konsekvenser for virksomhetene, advarer BDOs personvernekspert, Henrik Dagestad.
Les: Dette er de fem største digitale truslene mot næringslivet
GDPR-innføring kan bli utsatt til august
Ifølge Justis- og beredskapsdepartementet vil innføringen tidligst skje i juli i år, men mye tyder ifølge Dagestad på at det ikke vil skje før i august. Samtidig vil den nye loven bli innført i EU som planlagt 25. mai.
– Det hadde selvfølgelig vært fordelaktig at også den norske loven ble satt i kraft samtidig slik at man ikke må forholde seg til to regelsett i en periode. Likevel tror jeg ikke at dette vil få noen store konsekvenser for norske virksomheter, sier BDOs personvernekspert.
Justis- og beredskapsdepartementet har uttalt at inntil den nye norske personopplysningsloven har trådt i kraft, vil det etter deres syn være det gamle 95-direktivet som regulerer overføringen av personopplysninger mellom EU og Norge.
Les også: Digital oppbevaring av regnskapsmateriell: Dette må du vite
De store langt bedre forberedt enn de små
Ifølge BDOs lederundersøkelse er det en klar tendens til at de store virksomhetene føler seg bedre forberedt enn de mindre. Mens hele 74 prosent av virksomhetene, eller nesten tre av fire, med under 50 ansatte sier at de er lite eller bare noe forberedt på GDPR, er det tilsvarende tallet blant virksomhetene med over 1000 ansatte 36 prosent.
Overveldende for de små
– Det oppleves som overveldende for mange små og mellomstore bedrifter å måtte forholde seg til de samme kravene som store, internasjonale konsern. Samtidig er det ingenting som tyder på at mindre bedrifter får ta lettere på personvernbehandlingen, sier Dagestad. Han anbefaler disse lederne å ha en mer risikobasert tilnærming.
– Du må kartlegge de personopplysningene dere faktisk behandler, og avklare hvor risikoen for avvik er størst, forklarer den erfarne personverneksperten.
Her er tre enkle råd for å komme i gang med GDPR-tilpasningen:
1. Hvem gjelder de nye personvernreglene for?
Alle virksomheter som enten har ansatte eller behandler personopplysninger om kunder, leverandører eller andre, må sette seg inn i og etterleve det nye regelverket. Husk at selv om du ikke har hentet inn navn, fødselsnummer eller lignende, er det nok at opplysningene er såkalt indirekte identifiserende for at de vil bli regnet som en personopplysning.
2. Få oversikt over personopplysninger i virksomheten
En personopplysning er en opplysning eller vurdering som kan knyttes til en enkeltperson. Dette kan være alt fra navn og hvilke butikker personen handler i til sensitive opplysninger som for eksempel politisk ståsted. Enhver virksomhet må etter loven ha oversikt over hvilke opplysninger de har og bruker om ansatte, kunder eller medlemmer. Uten en slik oversikt er det umulig å gjøre vurderinger av personkonsekvenser, noe som er pliktig for enkelte typer behandlinger.
3. Få på plass solid internkontroll
Regelverket krever at virksomheten kan dokumentere tilfredsstillende internkontroll knyttet til behandling av personopplysninger. Dette betyr at virksomheten blant annet må utarbeide styrende dokumentasjon og nødvendige rutiner for etterlevelse av personopplysningsregelverket.