Tre av fire norske bedrifter og virksomheter har ikke kommet i gang med å forberede seg på de omfattende endringene som kommer når EUs nye personvernlovgivning trer i kraft i mai neste år.
Det viser en undersøkelse blant 537 ledere i privat og offentlig sektor, som Respons Analyse har utført for IT-selskapet Atea. Utvalget er representativt for ledere totalt i Norge, ifølge analysebyrået.
Datatilsynet gikk ut allerede sommeren 2016 og oppfordret norske virksomheter til å starte arbeidet med omleggingene. Direktør i Datatilsynet Bjørn Erik Thon liker dårlig at så få er i gang knappe fem måneder før loven trer i kraft.
– De virksomhetene som ikke har startet arbeidet ennå begynner å få hastverk, for det er en god del som må gjøres, særlig gjelder dette for bedrifter som sitter på mye data om kundene sine eller virksomheter som sitter på mye sensitive data om brukere og kunder, sier Thon til NTB.
– Men bildet er nyansert. Vi opplever at interessen for personvern er helt enorm blant bedriftene og virksomhetene der ute. De fleste større bedriftene har satt i gang programmer, men så er det en utfordring når det gjelder de mindre bedriftene, sier Thon i en kommentar til undersøkelsen.
Utdatert regelverk
Den nye personloven GDPR (General Data Protection Regulation) ble vedtatt av EU i 2016, og forordningen gjelder også Norge som EØS-land. Alle virksomheter som samler inn eller bruker personopplysninger om EU/EØS-borgere må fra 25. mai 2018 følge de nye reglene.
Den viktigste endringen er at bedrifter og virksomheter får et langt et større ansvar for å ivareta personvernet til sine kunder, og for å vurdere risiko og personvernkonsekvenser – før de starter behandling av personopplysninger.
Thon sier det er på høy tid at lovendringene kommer, og peker på at det gamle regelverket var 16–17 år gammelt.
– Det er ikke noe annet ord enn revolusjon som kan beskrive den teknologiutviklingen som har skjedd på de årene. Facebook og Google var jo knapt påtenkt, påpeker Thon.
Får ta med egne data
Datatilsynets direktør kaller det nye regelverket en viktig styrking av personvernet til forbrukere og borgere. Det gir borgere blant annet rett til å motsette seg såkalt profilering – at du blir tilbudt direkte reklame på bakgrunn av hvem du er og tidligere forbrukeratferd, samt rett til å ta med deg dine egne data fra ett selskap til et annet, såkalt dataportabilitet.
Thon tror dette kan bli viktig særlig viktig i markedet for en del skytjenester, som oppbevaringstjenester for dokumenter, bilder, spillelister og treningsdata i ulike treningsapper, samt i finansbransjen, hvor en forbruker kan ønske å ta med seg for eksempel sin bankhistorikk eller forsikringshistorikk fra ett selskap til et annet.
Høye bøter
Thon sier det første og viktigste bedriftene nå må gjøre, er å få oversikt over dataene de sitter på og hva de bruker dem til.
Bedriftene som ikke følger opp, risikerer økonomiske sanksjoner som svir. De nasjonale datatilsynene får vide fullmakter til å ilegge sanksjoner og kan gi gebyrer på opptil 4 prosent av virksomhetens årlige, globale omsetning.
Datatilsynet har de siste årene blitt styrket økonomisk for å kunne klare å følge opp den nye loven.
