De verdifulle personopplysningene
Statsautorisert revisor
Styreleder i Revisorforeningen
Mye er sagt og skrevet om EUs nye personvernforordning (GDPR) som trer i kraft 25. mai 2018. Det er ingen grunn til å tro at oppmerksomheten rundt det kommende regelverket vil bli mindre i tiden fremover. Essensen i den nye forordningen er at den enkelte forbruker får større beskyttelse, mens bedriftene som innhenter data, får økte forpliktelser. Dette er en forenkling av lovverket og en moderne tilnærming til behandling av data.
Ikke overraskende synes mye av oppmerksomheten, spesielt fra advokat- og rådgivningsbransjen, å være rettet mot en betraktelig heving av nivået for overtredelsesgebyr ved manglende overholdelse av det nye lovverket. Uttalelser fra datatilsynet, sammen med norsk rettspraksis, tilsier imidlertid at virksomheter neppe trenger å frykte bøter i millionkronersklassen riktig ennå.
Større krav fra forbrukerne
La oss tone ned skremselspropagandaen og heller fokusere på den generelle endringen GDPR signaliserer. Dagens personopplysningslov bygger på et EU-direktiv fra 1995. At det nå kommer et nytt regelverk «kun» 20 år etter at det forrige regelverket ble vedtatt, er uvanlig i EU-sammenheng. Men det har skjedd så mye med mulighetene for behandling, oppbevaring og distribusjon av data siden da at et nytt regelverk var tvingende nødvendig. Digitalisering er blitt et trendord, men sjelden er det mer beskrivende enn her. Fremveksten av internett, sosiale medier, skytjenester, utallige elektroniske «dingser» og ikke minst «the Internet of Things» innebærer helt andre trusler mot vårt personvern enn situasjonen var for 20 år siden.
Så langt har virksomheter hatt for sterke kort på hånden når det kommer til personvern. Data har enorm verdi. Nå begynner vi å ta det innover oss. GDPR er uttrykk for en forhøyet interesse om, og økt bevissthet rundt, personvern i samfunnet som helhet. Det at den gjengse forbruker, kunde eller ansatt i langt større grad vil gjøre sine rettigheter gjeldende og stille virksomheter kritiske spørsmål til hvordan de behandler deres personopplysninger, vil være en langt viktigere konsekvens av GDPR enn økte overtredelsesgebyr.
Personvern: En integrert del av bedriftens beslutningsprosess?
Vi er vant med å vurdere en rekke konsekvenser før vi treffer beslutninger. Noen vurderinger foregår implisitt uten at vi tenker over det, andre momenter har vi trent på å trekke inn. For de som ikke allerede har begynt å se på personvern som en integrert del av beslutningsprosessen, er det på tide å våkne. Virke skriver på sine nettsider: «Forordningen er mer detaljert og krever et helt annet fokus fra bedriftene enn tidligere. Det nye regelverket pålegger bedriftene et større ansvar for personvern og fører til at bedriftens ansvar for personvern bør flyttes fra "datarommet til styrerommet"». I GDPR kalles dette for Privacy by design og Privacy by default. Veldig forenklet – tenk personvern allerede fra dag én ved utvikling av IKT-systemer. Standarden skal alltid være innstillinger i programvare som er mest gunstig for personvernet.
Vårt ansvar som rådgiver
Det er ikke et konkurransefortrinn å være oppdatert på, og overholde regelverket for personvern. Det er en selvfølge. Det er en forventning, både fra våre kunder og fra den enkelte forbruker, om at personvernhensyn alltid er ivaretatt. Da er det et tankekors at DN i februar i år slo opp at fire av fem norske bedriftsledere ikke har satt seg inn i hva den nye personvernlovgivningen betyr for dem. Vi har en jobb å gjøre. Som revisorer og rådgivere har vi innsyn i mange av bedriftens data. La oss utvide ansvarsområdet vårt litt. Vi bør bruke rollen vår til å hjelpe våre kunder i gang med de nødvendige forberedelsene til det nye regelverket slik at de tar med seg personvern i beslutningsprosessen til riktig tid. Størrelsen på bedriften er ikke det som teller her. Det viktige er verdien av og kompleksiteten i dataene som behandles. Digitaliseringen er en kontinuerlig prosess, som også på dette området skaper behov for omstilling for oss som profesjon.