– Vi skulle gjerne sett at alle var forberedt, men slik er ikke verden, sier direktør i Datatilsynet, Bjørn Erik Thon.

25. mai trer den nye personvernloven GDPR (General Data Protection Regulation) i kraft. Den gir felles regler for hele EU og EØS om hvordan persondata kan brukes.

Ifølge en undersøkelse konsulentselskapet Deloitte har gjort blant 200 bedrifter med over 20 ansatte er det fortsatt en tredjedel som fortsatt ikke har startet arbeidet med å sikre kundenes personopplysninger. Andelen forberedte bedrifter er likevel mer enn dobbelt så høy som i fjor.

Datatilsynet kommer med mal

– Vi er glade for at det går i riktig retning, sier Thon, som samtidig understreker at ikke alle virksomheter er like berørt av loven og dermed ikke fokuserer like mye på den.

Han råder likevel uforberedte bedrifter til å starte arbeidet straks.

– Det er bare å sette i gang. Start med å skaffe en oversikt over hvilke deler av GDPR man kommer inn under, her jobber vi med en nedlastbar mal man kan bruke. Deretter kommer arbeidet med å innføre nødvendige endringer, som for enkelte kan være omfattende, sier Thon.

I hovedsak sørger GDPR for å legge mer kontroll over egne data i hendene på privatpersoner. Bedrifter som ikke har rutiner i samsvar med den nye loven risikerer bøter, men Datatilsynet har ikke har tenkt å starte opp storstilte inspeksjoner rett etter ikrafttredelse.

– Vi vil nok se an hva som kommer av saker den første tiden og hvilken presedens i form av sanksjoner som kommer fra andre land. Men etter sommeren vil vi nok være i gang med full håndheving av GDPR, litt avhengig av endelig ikrafttredelse, sier Thon.

Positive etter innsikt

Ifølge undersøkelsen sier 93 prosent av bedriftene at de har god kontroll på personopplysningene de sitter på, samtidig svarer over halvparten at de ikke kan, eller ikke vet om de kan, dokumentere rutiner for når bedriften sletter personopplysninger.

– Vår forståelse av markedet er at bedriftene ikke er så godt forberedt som de tror. Mange starter nok på arbeidet med GDPR fordi de er redd for sanksjoner, men i løpet av arbeidet oppdager også mange at GDPR gir nye muligheter, sier Bjørn Ofstad, leder for personvern i Deloitte legal.

Datatilsynets direktør er mest fornøyd med at mange ikke ser på GDPR som en ulempe for virksomheten.

– Vi holdt foredrag for 60.000 personer i fjor og fikk mange tilbakemeldinger om at de fleste er positive til GDPR når de får innsikt i hva det betyr. Skal man bygge kundetjenester basert på data er det jo en fordel med kontroll på dataene fordi det øker kvaliteten på informasjonen, sier Thon.

Ofstad i Deloitte tror at når privatpersonenes bevissthet rundt de nye reglene øker, vil de som ikke har god kontroll kunne miste kunder.

– Mange oppdager at det å ha kontroll er et fortrinn. Da kan de gi kundene svar på deres henvendelser om bedriftens håndtering av deres personopplysninger og de risikerer ikke dårlig omtale og omdømmetap fordi de ikke hadde kontroll. Å miste kunder kan være minst like alvorlig som en bot fra myndighetene etter en inspeksjon, sier Ofstad.

Utsatt i Norge

Selv om GDPR trer i kraft i EU 25. mai, er lovens ikrafttredelse for Norges del utsatt i inntil en måned. Årsaken er de ulike EØS-landenes behandlingstid av loven og at det vil ta ekstra tid å få den formelt inn i EØS-avtalen, forklarer Justisdepartementet. Foreløpig jobbes mot ikrafttredelse 1. juli.

Datatilsynet sier de ikke har fått dette bekreftet av Justisdepartementet og at man derfor ikke bør vente med arbeidet, siden en ikrafttredelse kan komme tidligere.(Vilkår)

Fantastiske Storebrand-tall ødelegger DNs veddemål med Trøim
02:37
Publisert: