Ikke glem retten til å bli glemt

Share this post:

Har du som leder glemt menneskers rett til å bli glemt? Det kan koste selskapet ditt dyrt. Det er på tide å ta frem huskelappen fra i fjor.

Den 25. mai i år går startskuddet for den viktigste endringen i norsk personvernlovgivning på flere tiår. Med den såkalte personvernforordningen, eller GDPR, samkjøres personvernet i hele EU og EØS. Enkeltpersoner får en rekke utvidede rettigheter, og selskaper får tilsvarende plikter.

Åtte av ti ledere var helt ukjent med den nye loven på denne tiden i fjor. Mange har nok våknet siden da, men vår erfaring er at urovekkende mange trykket på slumreknappen da alarmklokkene begynte å ringe etter EUs nye personvernvedtak. Det er selvfølgelig lov å drømme, men GDPR forsvinner neppe og de som ikke er forberedt nå har farlig dårlig tid til å gjøre nødvendig opprydding og tilpasning for å oppfylle regelverkets krav.

Trusselen om kjempebøter på opptil fire prosent av selskapets omsetning, eller opptil 20 millioner euro, bør gjøre dårlig forberedte direktører veldig nervøse. Og skulle media eller andre avsløre at selskapet ditt etter 25. mai fortsatt ikke kan skjule, slette eller gjøre rede for dine kunders personopplysninger, vil omdømmetapet potensielt bli stort. Motsatt vil åpenhet og kontroll gi troverdighet, tillit og styrket omdømme.

Mer enn kundedata

Kjernen i den nye personvernforordningen er egentlig enkel: Alle bestemmer selv over sin egen informasjon. Intet selskap skal lagre mer informasjon om deg enn nødvendig og kun de som trenger denne informasjonen skal ha tilgang til den. Dersom du spør om det, skal all informasjon om deg bli slettet. Spor skal fjernes. Du har rett til å bli «glemt».

I vårt informasjonsdrevne samfunn og vår datastyrte økonomi, innebærer imidlertid denne «enkle» loven enorme endringer. Dette handler om mye mer enn kundedata. GDPR vil tvinge gjennom en grunnleggende endring i hvordan vi jobber. Loven vil trolig påvirke ansattes hverdag, leverandørers rutiner og samarbeidet mellom forretningspartnere. Loven vil høyst sannsynlig endre både selskapers interne organisering og eksterne forretningsdrift. Arbeidet med GDPR bør derfor ikke outsources til IT-avdelingene, men løftes inn i ledergruppene.

Fire råd og en oppfordring

Tiden er knapp og det er mye som må gjøres før forordningen trer i kraft 25. mai. Innen da må selskapene ha kartlagt hvor all data om ansatte og kunder er lagret, og ha identifisert hvem som har tilgang til informasjonen. Det kreves stålkontroll og dette gjelder for øvrig også eventuelle sikkerhetskopier. Står selskapets server i EU blir oppgaven enklere, med mindre databehandlere utenfor EU og EØS har tilgang til serveren. Samarbeidspartnere i India, Brasil og andre land utenfor EU og EØS må ettergås og avkreves forsikringer om etterlevelse av den nye personvernforordningen. Det blir nemlig strengere krav til at dataeier sikrer at leverandørene, som bruker eller som har tilgang til opplysningene, følger regelverk

I IBM har vi jobbet med tilpasning av IT-løsninger til GDPR lenge, og vi har fire råd til alle norske bedriftsledere som er i startgropen eller på oppløpssiden i sine nødvendige personvernforberedelser:

• Mennesker og kommunikasjon: Gi dine ansatte tilstrekkelig opplæring i de nye kravene. De må forstå hvilke grenser loven setter for lagring og tilgang til personopplysninger. Selskapets overlevelsesevne kan i ytterste konsekvens stå på spill.
• Prosesser: Analyser dine forretningsprosesser nøye. Hvordan vil GDPR påvirke disse og hva må gjøres for å gjennomføre endringer best mulig.
• Data: Undersøk og overvåk dine data nøye. Vær sikker på at datakvaliteten er så god at du kan være åpen om den med ansatte og kunder. Åpenhet bygger tillit.
• Sikkerhet: Å beskytte personinformasjon er grunnleggende i den nye loven. Men glem ikke at du også må kunne gi personer og kunder muligheten for tilgang til egne data, rettelse av data, sletting av data, solid dokumentasjon for bruken av data – for å nevne noe.

Helt til slutt en oppfordring: Norske forbrukere er datakyndige. De forstår hvordan deres persondata brukes i salg og markedsføring. De er også stadig mer bevisst sine rettigheter. Det kan derfor være klokt å tenke gjennom hvorvidt GDPR kan snus til en mulighet. Å være best på personvern kan vise seg å bli god business.

(Denne kronikken ble først publisert i Dagensperspektiv 23. februar 2018).