Annonse:
ADVARER: Geir André Strømsvold I DIGFO Advarer Virksomheter Mot å Vente For Lenge Med å Iverksette Tiltak For å Møte De Nye Kravene Til Den Nye Perosnvernloven Som Trer I Kraft 25. Mai.
ADVARER: Geir André Strømsvold i DIGFO advarer virksomheter mot å vente for lenge med å iverksette tiltak for å møte de nye kravene til den nye Perosnvernloven som trer i kraft 25. mai.

– Småbedrifter vil få de største utfordringene

Den 25. mai får Personvernloven en mengde tillegg som skal styrke privatpersoners rett til å beskytte sine personopplysninger. Alle ­virksomheter som har ansatte eller kunder i EU eller EØS vil bli berørt og bør være igang med nødvendige omstillinger allerede.

Tillegget er diktert av EU og har fått benevnelsen GDPR, som står for General Data Protection Regulation. Benevnelsen er i ferd med å fases ut, og brukes mest av IT-folk fordi det gir lite mening for vanlige folk.

– Da er det bedre å snakke om personvernforordninger. For den menige mann er det mer fornuftig å prate om personvernloven som GDPR blir en del av. Vi kan gjerne si at Personvernloven oppgraderes.
Tidene har endret seg voldsomt siden Personvernloven trådte i kraft i 1995, med den kraftige digitaliseringen som har foregått. Derfor er det absolutt nødvendig med et nytt lovverk. Endelig får vi et fokus på personvernet som det fortjener, sier Geir André Strømsvold.

 

Ny lov
Han er daglig leder i DIGFO, som blandt annet tilbyr foredrag og ­konsultering innen datasikkerhet.

Loven gjelder fra og med 25. mai og da er det viktig at virksomheter kan dokumentere at de har et bevisst forhold til personvern.

– Den gjør jo at vi privatpersoner får flere rettigheter tilknyttet våre personopplysninger. Før krevde Personvernloven mer aktiv involvering fra brukernes side mens den nå vil kreve at vi aktivt godkjenner formålet med bruken av persondata i mer detaljert grad før den kan lagres og anvendes hos en virksomhet, presiserer Strømsvold.
Utfordrende
Det nye tillegget til Personvernloven er tungt og omfattende. Derfor kan det være utfordrende for spesielt småbedrifter å skulle sette seg inn i emnet. På samme måte blir det vanskelig for privatpersoner å sette seg inn i hvilke rettigheter de har. Det er Datatilsynet sitt mandat å gjøre folk oppmerksomme om loven og se til at den blir overholdt.

– Datatilsynet gjør en god jobb, men alt kommer kanskje ikke så godt frem fordi det er en så svær oppgave. Vi snakker 156 sider med engelsk tekst. Det finnes foreløpig ingen offisiell norsk oversettelse. Norge er derfor litt bakpå, mener datakonsulenten.

 

Datamengde avgjørende
Hvem som vil få de største utfordringene med de nye bestemmelsene er avhengig av mengden data de sitter på, sett i forhold til ressurser.

– Store selskap som har samlet inn persondata i lang tid og ikke brukt det til noe spesielt, har den største jobben foran seg. De har kanskje samlet inn mer enn de trengte fordi de ikke hadde noen klar strategi for hva de skulle bruke informasjonen til. Men nå blir ting satt på hodet ettersom vi forbrukere må aktivt samtykke til at de kan bruke disse opplsyningene, forteller eksperten.

Konsulentutgifter og ekstra arbeidstimer vil føre til merkostnader for bedriftene, men ikke nødvendigvis programvare da Personvernloven ikke legger føringer for hvilke programvare som skal brukes, skal vi tro DIGFO-lederen.

– Bøter vil bli aktuelt for dem som ikke overholder reglene. De må se på rutiner, prosesser, policyer, prosedyrer – alt som må forankres med tanke på personsikkerhet. Du må ha dokumentasjon på plass som viser at du ivaretar personopplysninger på en skikkelig måte dersom du får ettersyn av Datatilsynet.

De største utfordringene for alle typer virksomheter er typisk ustrukturert data.

– Ustrukturert data er data som er lagret f.eks. på en ansatts bærbare datamaskin eller en epostkonto. Dersom man ikke har systemer som kan lese gjennom ustrukturert data ved behov, klarer man kanskje ikke å fremskaffe opplysningene raskt nok. Men et annet aspekt er at Personvernloven ikke gir anledning til systemer som leser automatisk ansattes datamaskiner, ettersom det kan ligge private opplysninger om den ansatte der.

 

Bøter
I følge vår datamann vil vi oppleve store bøter i Europa.

– Men ikke i Norge, påstår han, og ber bedriftsledere holde hodet kaldt:

– Datatilsynet skiller mellom aktsomhet og uaktsomhet. Dersom du har satt i gang tiltak, vil dette ha stor betydning for utfallet av eventuelle sanksjoner.

Til nå har GDPR vært litt hysteri. Det er mange som skal krisemaksimere for å tjene penger på det og bruker bøter som skremsel, men for en butikk som holder på kontaktinformasjon er det tilstrekkelig at du har et skriv som dokumenterer hvordan du fikk tak i disse opplysningene og at lagringspunktet er beskyttet.

Spammere vil dermed gå en tyngre tid i møte, røper datarådgiveren.

– Bedrifter med store kundeklubber og medlemsmasser vil få de største utfordringene. Bemanningsbyråer og regnskapsførere har kanskje ressurser til å møte de nye kravene, men ikke nødvendigvis små idrettslag og humanitære organisasjoner. Disse bør trå varsomt frem og ikke bruke penger på programvare og konsulenter som ikke gjør jobben.