Er din bedrift forberedt på ny personvernlov?

I mai trer EUs nye personvernlov i kraft, men bare en av fire norske virksomheter er i gang med tilpasninger, viser en undersøkelse.

Verst stilt er situasjonen i vestlandsfylkene Hordaland, Møre og Romsdal og Sogn og Fjordane, hvor bare én av fem bedrifter er i gang med arbeidet.

Det viser en undersøkelse blant 537 ledere i privat og offentlig sektor, som Respons Analyse har utført for IT-selskapet Atea. Utvalget er representativt for ledere totalt i Norge, ifølge analysebyrået.

– Begynner å få hastverk

Datatilsynet gikk ut allerede sommeren 2016 og oppfordret norske virksomheter til å starte arbeidet med omleggingene. Direktør i Datatilsynet Bjørn Erik Thon liker dårlig at så få er i gang knappe fem måneder før loven trer i kraft.

– De virksomhetene som ikke har startet arbeidet ennå begynner å få hastverk, for det er en god del som må gjøres, særlig gjelder dette for bedrifter som sitter på mye data om kundene sine eller virksomheter som sitter på mye sensitive data om brukere og kunder, sier Thon til NTB.

– Men bildet er nyansert. Vi opplever at interessen for personvern er helt enorm blant bedriftene og virksomhetene der ute. De fleste større bedriftene har satt i gang programmer, men så er det en utfordring når det gjelder de mindre bedriftene, sier Thon i en kommentar til undersøkelsen.

Utdatert regelverk

Den nye personloven GDPR (General Data Protection Regulation) ble vedtatt av EU i 2016, og forordningen gjelder også Norge som EØS-land. Alle virksomheter som samler inn eller bruker personopplysninger om EU/EØS-borgere må fra 25. mai 2018 følge de nye reglene.

Den viktigste endringen er at bedrifter og virksomheter får et langt et større ansvar for å ivareta personvernet til sine kunder, og for å vurdere risiko og personvernkonsekvenser – før de starter behandling av personopplysninger.

Thon sier det er på høy tid at lovendringene kommer, og peker på at det gamle regelverket var 16–17 år gammelt.

– Det er ikke noe annet ord enn revolusjon som kan beskrive den teknologiutviklingen som har skjedd på de årene. Facebook og Google var jo knapt påtenkt, påpeker Thon.

Får ta med egne data

Datatilsynets direktør kaller det nye regelverket en viktig styrking av personvernet til forbrukere og borgere. Det gir borgere blant annet rett til å motsette seg såkalt profilering – at du blir tilbudt direkte reklame på bakgrunn av hvem du er og tidligere forbrukeratferd, samt rett til å ta med deg dine egne data fra ett selskap til et annet, såkalt dataportabilitet.

Thon tror dette kan bli viktig særlig viktig i markedet for en del skytjenester, som oppbevaringstjenester for dokumenter, bilder, spillelister og treningsdata i ulike treningsapper, samt i finansbransjen, hvor en forbruker kan ønske å ta med seg for eksempel sin bankhistorikk eller forsikringshistorikk fra ett selskap til et annet.

Høye bøter

Thon sier det første og viktigste bedriftene nå må gjøre, er å få oversikt over dataene de sitter på og hva de bruker dem til.

Bedriftene som ikke følger opp, risikerer økonomiske sanksjoner som svir. De nasjonale datatilsynene får vide fullmakter til å ilegge sanksjoner og kan gi gebyrer på opptil 4 prosent av virksomhetens årlige, globale omsetning.

Datatilsynet har de siste årene blitt styrket økonomisk for å kunne klare å følge opp den nye loven.

De viktigste endringene:

Nasjonale datatilsyn plikter å samarbeide om konkrete saker og å utveksle informasjon med hverandre.

Alle offentlig virksomheter, samt private virksomheter som behandler sensitive personopplysninger i stor skala eller som systematisk overvåker europeiske borgere i stor skala, vil bli pålagt å opprette egne personvernombud.

Reglene gjelder også for virksomheter utenfor Europa som tilbyr varer og tjenester til EU/EØS-borgere eller overvåker atferden til europeiske borgere til bruk for profilering.

Borgere får rett til å ta med seg data fra en virksomhet til en annen, såkalt dataportabilitet.

Tydeligere retningslinjer for når bedriftene kan bruke personopplysninger til andre formål enn det de ble samlet inn for.

Alle bedrifter og virksomheter blir lovpålagt å bygge inn personvern inn i alle applikasjoner.

Det stilles strengere krav til forståelig språk og åpenhet om virksomhetens behandling av personopplysninger.

Borgere får rett til å motsette seg noen typer profilering, der personopplysninger blir brukt til å analysere og forutse atferd.

Bedrifter og virksomheter får et større ansvar for å ivareta personvernet til kunder og brukere.