GDPR – EUs personvernforordning – trer i kraft den 25. mai 2018. Men mange norske ledere tror ikke deres virksomhet trenger å forholde seg til dette.
GDPR – EUs personvernforordning – trer i kraft den 25. mai 2018. Men mange norske ledere tror ikke deres virksomhet trenger å forholde seg til dette. (Bilde: Colourbox (montasje: digi.no))

General Data Protection Regulation

Over halvparten av norske bedriftsledere tror at GDPR ikke angår deres virksomhet

IT-sikkerhetsselskapet NTT Security har gjennomført en undersøkelse blant 1350 ledere i virksomheter i 11 ulike land, deriblant Norge, for å studere holdninger knyttet til risiko og informasjonssikkerhet blant ledere. Ingen av de spurte er IT-ledere i sin virksomhet.

Det kanskje aller mest oppsiktsvekkende i undersøkelsen er den høye andelen av lederne som mener at den kommende personvernforordningen GDPR som trer i kraft den 25. mai 2018 – ikke angår deres virksomhet.

Halvparten 

I blant de hundre norske lederne som har blitt intervjuet, er det under halvparten som mener GDPR angår deres virksomhet. Dette til tross for at alle er ledere i virksomheter med 250 eller flere ansatte.

– Det er overraskende at så mange som 53 prosent av de norske respondentene ikke svarer bekreftende på at GDPR angår dem, når vi vet at omtrent alle virksomheter må forholde seg til reglene. Selv om de som har svart på undersøkelsen ikke jobber med IT, burde det være en selvfølge at de er bevisste nye regelverk som påvirker sikkerhet og data i virksomheten. Særlig siden det kan ha store konsekvenser dersom man ikke følger regelverket, sier Henrik Davidsson, nordisk salgsdirektør i NTT Security, i en pressemelding. 

Andelen er likevel høyere i Norge enn i flere andre land. I Sverige er det bare 42 prosent som tror at deres virksomhet vil være berørt. 

Dette til tross for at det etter nordiske mål dreier seg om ganske store virksomheter. 

Henrik Davidsson hos NTT Securitys mener det er overraskende at så mange bedriftsledere tror at GDPR ikke angår dem..
Henrik Davidsson hos NTT Securitys mener det er overraskende at så mange bedriftsledere tror at GDPR ikke angår dem.. Foto: Harald Brombach

– Min erfaring forteller at det definitivt er samme situasjonen i mindre selskaper, om ikke verre, forteller Davidsson til digi.no.

Les også: Tror norske virksomheter kan få seg en overraskelse i arbeidet med GDPR (Digi Ekstra)

Det begynner å haste

NTT Security viser til NHO, som mener man ligger godt an til å oppfylle de nye reglene dersom man allerede følger de gamle. Men mye tyder på at mange ikke kjenner hverken de gamle eller de nye reglene godt nok.

– Desto viktigere er det da å begynne å kartlegge hvilke regler som gjelder og hvordan man kan oppfylle dem. Virksomheter med ledere som ikke er klar over at GDPR angår dem, har sannsynligvis heller ikke begynt å se på hvilke endringer de må gjøre. Det begynner å haste, sier Davidsson. 

– IT er på vei til å bli en del av forretningen. Alle er på en digitaliseringsreise. Man behøver at også andre i selskapet, som ikke jobber spesifikt med IT til daglig, får mer utdannelse innen IT og sikkerhet, forteller han. 

Spesielt trekker han fram at det er viktig å skaffe seg kunnskap om regelverk, og at dette gjelder helt opp til styrenivå. 

Manglende oversikt

Ifølge undersøkelsen svarte 34 prosent av de norske lederne at de ikke vet hvor virksomheten lagrer sine data, og kun 40 prosent sa at deres kritiske data, som kundedata, er helt trygge.

5 råd for å komme i gang med GDPR
  • Ikke vent. Kom i gang med arbeidet for å overholde reglene i den nye personvernforordningen med en gang, de trer snart i kraft.
  • Få oversikt over dataene. Den største jobben knyttet til GDPR er å få oversikt over dataene og dataflyten. Dette gjelder særlig komplekse organisasjoner hvor man har systemer som har vokst gradvis over tid.
  • Skaff dere kunnskap. De som er ansvarlige for samsvar med lover og regelverk må de kurses på hva som kreves, så de vet hva som må gjøres. De bør også videreformidle kunnskapen og sørge for at flere i organisasjonen får denne forståelsen, særskilt de i ledelsesfunksjoner.
  • Gå gjennom systemene dine. I henhold til GDPR kan man kreve at informasjon om en selv blir slettet eller overført innen en gitt tid. For at dette skal håndteres godt bør dataene ha enhetlige formater. Det betyr at en del gamle systemer bør oppdateres.
  • Lag en responsprosedyre for hendelser. Ved sikkerhetsbrudd plikter du å varsle innen 72 timer til Datatilsynet og de som kan være rammet. Brudd skjer ikke nødvendigvis i kontortiden, og dere har ingen tid å miste når noe skjer. Da blir gode rutiner viktige.

(Kilde: NTT Security)

– Det er viktigere enn noen gang å ha kontroll på dataene sine. Å vite hvor dataene er og sikre virksomhetskritiske verdier er riktig sted å begynne, mener Davidsson. 

Som eksempler på kritiske data nevner han blant annet kredittkortinformasjon, hjemadresser, IP-adresser og personnumre. 

– Det viktigste er at man har en god prosess om hvordan håndterer data, fortsetter Davidsson. Med GDPR følger også retten til å bli glemt, noe som innebærer at en virksomhet må slette all informasjon om en person, dersom denne personen krever dette og er innbygger i et EU- eller EØS-land. 

For virksomheter med komplekse IT-systemer kan dette være en krevende oppgave, da mange ikke har full oversikt over alle steder hvor data om en gitt person er lagret. 

GDPR gjelder for alle virksomheter i verden, så sant de lagrer data om europeiske borgere. Men bare 25 prosent av de intervjuede lederne i USA tror at GDPR gjelder deres virksomhet. 26 prosent svarte at de ikke vet. I Australia er de tilsvarende andelene henholdsvis 26 og 19 prosent. 

Det er altså godt under et år igjen til at GDPR trer i kraft. Dersom reglementet ikke følges, kan det virksomheten bli bøtelagt med opptil opptil 20 millioner euro eller fire prosent av årsomsetningen, avhengig av hva som er høyest.

Rapporten fra NTT Security er tilgjengelig via denne siden.

Leste du denne? Er sikkerhetsfolkene IT-bransjens homeopater? (Digi Ekstra)

Les vår guide: GDPR – de som ikke har kontroll på disse fem tingene risikerer gigantbøter » (Ekstra)

Kommentarer (3)

Kommentarer (3)
Til toppen