Annonsørinnhold fra  
Advertiser company logo

De som ikke har fått med seg dette risikerer bøter på inntil 20 millioner euro

Bare to prosent av bedriftsledere har satt seg inn i EUs nye personvernregler som innføres til neste år.

IT-sikkerhetssjef i Atea, Thomas Tømmernes.
IT-sikkerhetssjef i Atea, Thomas Tømmernes.
Del

Ledere mangler viktig kompetanse

Norske bedriftsledere har lite innsikt i hva EUs nye personvernforordning GDPR handler om, viser en undersøkelse blant 611 bedriftsledere i privat og offentlig sektor Respons Analyse har gjort for Atea.

  • Bare to prosent av bedriftslederne sier de har god innsikt i personvernforordningen. 
  • 60 prosent svarer at de ikke vet om de kan legge frem dokumentasjon på hvordan bedriften håndterer personopplysninger eller at de vet at de ikke kan dokumentere hvordan de håndterer slike opplysninger.
  • Kun én av ti norske virksomheter har startet arbeidet med å tilpasse seg den nye, svært omfattende lovgivningen GDPR, til tross for at Datatilsynet lenge har anbefalt at man begynner.
  • Én av tre bedriftsledere kjenner ikke til forordningen overhodet.

– Kjenner du ikke til den kommende personvernforordningen GDPR kan det koste bedriften svært dyrt, sier sikkerhetsekspert Thomas Tømmernes, nasjonal leder for IT-sikkerhet i Nordens største IT-selskap, Atea. GDPR, også kjent som General Data Protection Regulation, er EUs massive oppdatering av personvernsforordningene som innføres i mai 2018, også i Norge.

De skal implementeres i alle norske foretak, offentlige som private. Forordningen skal gi forbrukere bedre innsikt og muligheter til å se hvordan informasjonen brukes og gir dem også rett til å kreve at informasjonen skal slettes. Bedriftene skal også stilles mer til ansvar for informasjonen de henter.

For bedrifter som ikke følger reglene kan det by på bøter på opp mot fire prosent av brutto omsetning begrenset opp til 20 millioner euro. Da burde det være liten tvil om at en oppdatering på forordningen kan være lønnsomt.

Dette kan du gjøre allerede i dag

Det er ennå et drøyt år igjen til forordningen trer i kraft og bøter kan skrives ut til de som sluntrer unna. Vil du at bedriften din skal unngå det, har Datatilsynet fire tips du kan starte med:

  • Ha oversikt over hvilke personopplysninger dere behandler. Dette er likt dagens lovkrav.
  • Sørg for å oppfylle dagens lovkrav. Organisasjoner som allerede oppfyller kravene har en betraktelig lettere overgang når de nye reglene trer i kraft.
  • Sørg for å sette deg inn i det nye regelverket. Les mer på Datatilsynets nettsider.
  • Lag rutiner. Nye regler betyr behov for nye rutiner, og en god anledning til å ta en revisjon av eksisterende rutiner.

Kilde: Datatilsynet

Store bøter, korte frister

– Det er skikkelig trøkk bak ordene. Bøtene er såpass høye at de fleste av bedrifter har oppegående ledere som skjønner at det kan være kroken på døra om de ikke handler, sier Tømmernes.

Til tross for den stadig tettere fristen for å imøtekomme kravene, viser Ateas undersøkelse at mange norske ledere ikke er klar over hva som venter dem. For i tillegg til å stille strenge krav til hvordan bedrifter skal ta vare på de sensitive opplysningene, kommer klare regler for hva bedriftene skal gjøre dersom det går galt.

Bedriftene blir selv holdt ansvarlig ved datainnbrudd. Nå bøtelegges de som ikke klarer å holde oversikten.

– Rapporterer du ikke om en kritisk hendelse innen 72 timer vanker det bøter, forklarer Tømmernes.

Nøyaktig hvem som rapporterer hendelsene kan variere fra bedrift til bedrift, så lenge det skjer innen tidsfristen. For mange bedrifter kan det være en tanke å sette unna overvåkning og rapportering til en ekstern partner. 

– For tjenesteleverandører som Atea blir det dermed uproblematisk å legge til dette som en ekstra tjeneste. Atea har allerede team som kan håndtere slike hendelser og rapportere dem inn.

Det begynner å haste

 <i>Foto: Colourbox</i>
Foto: Colourbox

I listen over krav til bedrifter som må følge forordningene, vektlegges forebygging av skade. Det betyr at alle som behandler personopplysninger skal ha en erklæring, hvor detaljer rundt behandlingene av disse dataene er forklart på en forståelig måte. Samtidig må bedriftene selv utrede risiko og konsekvenser rundt personvernet.

– I første omgang tenker jeg det er bankopplysninger, personnummer og liknende opplysninger. Men det vil også komme krav til å behandle dataene på riktig måte, sier Tømmernes.

– Slik det foreligger i dag, har rundt 60 prosent av norske ledere ikke mulighet til å fremlegge dokumentasjon på hvordan deres bedrift håndterer personopplysninger, fordi de ikke vet om de har denne informasjonen eller fordi den ikke eksisterer, sier Tømmernes.

Når alle bedrifter plikter å sette seg inn i reglementet, begynner det å haste. I tillegg skal alle offentlige foretak og svært mange private bedrifter, opprette et eget personvernombud.

– Slike roller, som et dedikert personvernombud, er også en typisk rolle der ekspertisen kanskje kommer til å bli leid inn av veldig mange. Dette krever mye kompetanse, og er sjeldent kjerne i driften for et selskap, sier Tømmernes.

Sikkerhetsdagene er stedet å lære

Så viktig er det kommende reglementet, at Atea har viet størstedelen av Sikkerhetsdagene til å dekke det. For nå er det slutt på snakket, og på tide å brette opp ermene for å få på plass løsningene.

Ateas Sikkerhetsdager er en konferanseturné som kommer til 15 norske byer denne våren. Det overordnede temaet i år er GDPR og Atea har invitert Datatilsynet med som en rød tråd i programmet, både for juridisk og teknisk rådføring.

Les mer om sikkerhetsdagene her.

– På Sikkerhetsdagene tar vi GDPR ett hakk lenger. Datatilsynet åpner hele konferansen med et foredrag om nettopp GDPR, og vil være tilgjengelig så man kan stille spørsmål om alt man lurer på, sier Tømmernes.

– Har vært et superbuzzword

– Til nå har det vært et superbuzzword i bransjen, forordningene har jo vært der i mange år. Forskjellen er at fra og med 25. mai 2018 kan bedrifter som ikke følger dem bli holdt rettslige ansvarlige.

Tømmernes sier det er på tide at Norges IT-ledere tar innover seg at det begynner å bli kort tid til å søke hjelp. For noen bedrifter er det ikke mye som må gjøres, for andre kan det være en veldig omstendig prosess.  

– Kjenner du ikke til GDPR bør første skritt være å melde deg på Ateas Sikkerhetsdager, avslutter Tømmernes.