Fire av ti selskaper ikke klare for ny lov:
– Konsekvensen kan bli erstatningssøksmål og gebyr i millionklassen

I mai får norske bedrifter strengere personvernregler å forholde seg til. En ny undersøkelse skaper bekymring.

LAGRER INFORMASJON: De nye personvernreglene skal gjøre den informasjonen du legger igjen hos virksomheter enda tryggere.

Illustrasjonsfoto: Lise Åserud NTB scanpix
Publisert:

I mai trer nye lover som skal beskytte EU-borgernes privatliv i kraft. Blant dem er retten til å bli glemt, krav om varsling av brudd på sikkerheten innen 72 timer og krav til bedriften om å bruke et språk som forbrukerne forstår.

Dette krever også forberedelser for norske virksomheter.

En undersøkelse gjort for ett år siden for Deloitte viste at en av fire virksomheter ikke var forberedt da. En ny undersøkelse gjort for rådgivnings- og revisjonsselskapet BDO viser nå at fire av ti virksomheter fremdeles ikke er klar.

Les også

Nye regler gir forbrukere flere rettigheter: – Kan koste virksomheter dyrt

Oversikt

De nye reglene krever at alle, i både offentlig og privat sektor, må ha oversikt over hvilken informasjon de har om folk.

Undersøkelsen fra BDO viser at hele 41 prosent av de spurte virksomhetene fremdeles ikke har oversikt over personopplysningene de behandler, og 37 prosent svarer at de ikke har gjort noen risikovurdering knyttet til behandlingen av disse opplysningene.

I undersøkelsen har 800 ledere i norske virksomheter deltatt. De bransjene som er minst forberedt er bygg, anlegg og eiendom og varehandel øverst på listen.

– Ut fra slik jeg kjenner landet, er det ikke veldig overraskende. Men jeg hadde håpet at tallet var høyere, sier Bjørn Erik Thon, direktør i Datatilsynet, til E24.

FOREDRAGSREKORD: Bjørn Erik Thon, direktør i Datatilsynet, forteller at tilsynet satte ny foredragsrekord i 2017. De fleste handlet om den nye personvernlovgivningen.

Foto: Datatilsynet

General Data Protection Regulation (GDPR) trer i kraft i EU den 25. mai, og blir også norsk lov.

– Å ikke ta GDPR på største alvor er høyt spill med bedriftens økonomi som innsats. Det er skremmende å se at store bransjer ikke har kommet lenger når det bare er drøye to måneder igjen til GDPR trer i kraft. Konsekvensen kan bli både omdømmetap, potensielle erstatningssøksmål og gebyr i millionklassen, sier BDO-partner og personvernekspert Henrik Dagestad.

Les også

Kommentar: Ikke få personvernangst

Ikke gjelder dem

Dagestad tror årsaken til at mange fremdeles ikke er klar, er at de ikke vet at dette også gjelder dem.

– Det er mange, særlig små- og mellomstore bedrifter, som sliter med å forstå hvordan de skal håndtere dette, sier Dagestad og legger til at man generelt kan regne med at alle virksomheter som har ansatte er omfattet av regelverket.

Thon tror også at årsaken kan være at bedrifter ikke forstår at de behandler informasjon.

– Om du har ansatte eller kunder, så behandler du persondata. Om du har få kunder og ansatte, så er det ikke en så stor jobb å tilpasse de nye reglene. Men det er en del mindre bedrifter som sliter litt nå, sier Datatilsynet-direktøren.

HASTER: BDO-partner og personvernekspert Henrik Dagestad sier at de som ikke allerede jobber med å tilpasse virksomheten til de nye personvernreglene, må skynde seg. Men han tror ikke de største bøtene vil deles ut den første tiden.

Foto: BDO

Høyere gebyrer

I den nye personvernforordningen fra EU heves overtredelsesgebyrene til 20 millioner euro, eller fire prosent av selskapets globale omsetning, avhengig av hvilket beløp som er størst.

– Vi er utstyrt med godt skjønn og sunn fornuft, som gjør at vi skal håndtere dette bra. Vi har ikke lagt endelig strategi på hvordan vi skal reagere på brudd på reglene, men vi kommer til å føre tilsyn i 2018, sier Thon.

I tillegg frykter mange at de nye reglene gjør terskelen for erstatningssøksmål lavere.

Det er også en annen fare norske eksperter har ytret bekymring om.

– Vi ser at vi kan stå overfor en ny bølge av datakriminalitet, fortalte seniorrådgiver Vidar Sandland ved Norsk senter for informasjonssikring (NorSIS) i september.

Han frykter at kriminelle, som stjeler personopplysninger fra bedrifter, vil få sterkere kort på hånden. Dersom bedriftene ikke betaler det de krever, kan de true med å lekke opplysningene, noe som vil kunne føre til høye bøter for bedriftene fra Datatilsynet.

Trend Micro trakk også frem at den nye loven trolig var noe kriminelle ville utnytte til sin fordel.

Direktør Bjørn Erik Thon i Datatilsynet mener at den nye loven vil føre til færre datakriminelle.

– Nå blir man tvunget å sikre data bedre. Og da vil det bli færre datakriminelle fordi man pålegges andre rutiner for sikring av data. Alt dette vil i sum gjøre at det blir færre databrudd, har Thon fortalt.

Les også

Datasikkerhetsselskap spår dystert 2018

Les også

– Kan stå overfor ny bølge med datakriminalitet

Les også

Datatilsynet mener Taxiforbundet brøt loven i Uber-saken

Her kan du lese mer om