Norske bedrifter er dårlig forberedt på personvernlov

Én av fire selskaper er ikke forberedt på den nye personvernloven, viser en fersk undersøkelse.


<p><b>BETALING:</b> Vi legger igjen opplysninger om oss selv overalt.</p>

BETALING: Vi legger igjen opplysninger om oss selv overalt.

Med inntoget av «tingenes internett» og større bruk av kunstig intelligens, får avansert teknologi en stadig viktigere plass i hverdagslivet.

Mange av produktene som vi bruker daglig, bidrar til å gjøre hverdagen enklere. Men de fører også til at stadig flere aktører får tilgang til personopplysninger.

Det er ikke bare navn, personnummer eller telefonnummer som kan lagres, men også atferdsmønstre – som for eksempel hvor ofte du handler i butikken. 

Det bekymrer Deloitte, som har gjennomført en undersøkelse blant ledere i offentlig og privat sektor i forbindelse med EUs nye personvernforordring. Denne innføres i Norge i mai neste år.

  • Bare én av fire av de spurte sier de er forberedt på den nye personvernloven.
  • Bare fem prosent svarer at de er svært godt forberedt.

Svarene tyder på at mange selskaper har em stor jobb å gjøre for å møte kravene i den nye personlovgivningen innen fristen, påpeker advokat Bjørn Ofstad, som sto i spissen for undersøkelsen:

– Det tar tid å få dette på plass, særlig hos store selskaper innen media, reiseliv og finans, sier han til E24.

 <p>Bjørn Ofstad har ledet undersøkelsen.</p>

Bjørn Ofstad har ledet undersøkelsen.

– Det er ikke nok å ha papirene på plass, en virksomhet må få på plass systemer for informasjonssikkerhet og en organisatorisk oppbygging som støtter dette, og det er tidkrevende.

Ikke beredt

200 personer har svart på undersøkelsen, blant dem IT-ledere, HR-rådgivere og daglig ledere i virksomheter med mer enn 20 ansatte.

Målet med de nye EU-reglene er styrket tillit og sikkerhet i EUs digitale indre marked, som Norge har tilgang til gjennom EØS-avtalen.

De nye kravene skal skjerpe dagens personvernlov, og norske bedrifter må forholde seg til nye og mer kompliserte regler. Endringen vil være den største innen personlovgivning i Europa på over 20 år.

I Deloitte-undersøkelsen svarer 44 prosent av bedriftene at de ikke kan dokumentere at de sletter personopplysninger.

Ifølge Ofstad er det en rekke bedrifter som ikke er klare over hvilke opplysninger de har lagret, og de vet ikke om de har lov til å gjennomføre den behandlingen de faktisk foretar seg, samtidig som rutinene for sletting er for dårlig.

Dessuten er det for store avvik i selskapenes informasjonssikkerhetsystemer. 

– Dette er urovekkende med tanke på hacking. For det må en grunnleggende endring til på mange områder, understreker Ofstad, som mener vi kun ser toppen av isfjellet i dag. 

Lovbrudd blir dyrt

Den nye personvernloven skjerper også bøtene til inntil fire prosent av virksomhetens globale bruttoomsetning.
46 prosent av de spurte virksomheten mener bøtestraffen for brudd på loven er for streng, viser undersøkelsen.

Dagens personvernlovgiving forbyr lagring av unødvendige personvernopplysninger og krever at de registrerte opplysningene ikke skal kunne lagres mer enn nødvendig, som ved faktureringer og andre transaksjoner som knyttes direkte til den enkeltes personopplysninger.

Dette kravet vil bli ytterligere skjerpet i den nye loven som trer i kraft. 

– Det kan være kjedelige penger å bruke, men det kan koste virksomhetene dyrt i etterkant hvis de ikke har dette på plass, både i form av bøter og et tapt omdømme, sier Ofstad. 
Sletting av personopplysninger er et grunnleggene prinsipp i personvernloven. Opplysningene skal bort når bedriften ikke lenger har bruk for dem. Men her tror Ofstad at mange slurver.

–At folk ikke har rutiner for sletting får meg til å stille spørsmålet om det sletter i det hele tatt. 

Han peker på at flere aktører har uredelige hensikter og kan stjele opplysninger, slik man har sett eksempler på i både norsk og internasjonal sammenheng den siste tiden. 

Datatilsynet: Mer ansvar på bedriftene

Enkelte bransjer har kommet kortere i forberedelsene enn andre. 33 prosent av virksomhetene innen kommunikasjon og 32 prosent av virksomhetene i varehandelen, svarer at de ikke er beredt på den nye loven. Det synes direktør i Datatilsynet, Bjørn Erik Thon, er overraskende. 

 <p>Direktør Bjørn Erik Thon i Datatilsynet. </p>

Direktør Bjørn Erik Thon i Datatilsynet. 

– Varehandelbransjen har mye persondata de sitter på, så det er overraskende at ikke flere har tatt tak i i det, sier Thon til E24. 

Han understreker at mange aktører bruker dataene aktivt i forbindelse med markedsføring og direktetilbud til forbrukerne.

Datatilsynet skal behandle færre forhåndsgodkjennelser, og mer av ansvaret for å følge opp reglene om personvern legges nå på bedriftene selv.

– Inntrykket vårt er at det er mange som ikke har tenkt over regelverket. Virksomhetene må benytte anledningen til å gå gjennom sin egen måte å behandle data på, understreker Thon.

Han mener flere burder starte med å få en klar oversikt over hvilke data man har over kunder, pasienter eller forbrukere.

– Et rådende viktig prinsipp i personvernet er at man skal ha klare formål for bruken av dataene, sier Thon, som understreker at mengden data som samles inn er enormt større enn hva den var for kun et par år siden.

Vis kommentarer

Kjære kommentarfeltbruker!

Vi ønsker dine argumenter og meninger velkommen. Vær saklig og vis omtanke, mange leser det du skriver. Gjør debatten til en bedre opplevelse for både andre og deg selv.

Les mer om våre regler her.

Per Valebrokk, ansvarlig redaktør E24

På forsiden nå