EUs nye personvernregler – muligheter og utfordringer

Tirsdag 7.mars avholdt Norges Markedsanalyseforening et halvdagsseminar om den nye personvernloven, som trer i kraft i hele EU fra og med mai 2018. Adm. dir. John Lauring Pedersen, som også er norsk representant for ESOMAR, holdt i den sammenheng en presentasjon om hva de nye reglene betyr for bransjen, og hvordan ESOMAR har arbeidet for å få reglene så godt tilpasset vår analyseverden som mulig.

 

Først og fremst, de nye reglene for personvern er et resultat av en prosess som har pågått i EU siden behovet for revisjon av det gamle lovverket ble erkjent i 2012. Det har vært en rekke runder internt i EU-byråkratiet, og endeløse høringsrunder før man i dag sitter med et splitter nytt regelverk, kjent som GDPR – General Data Protection Regulation.

 

Hva betyr så nytt lovverk for oss som bransje? Det er egentlig ikke fundamentale endringer – det er en evolusjon av tidligere lovverk, ikke en revolusjon. Det handler om at EUs borgere har fått et enda sterkere vern omkring sine rettigheter til egne data – tidligere kunne man begjære innsyn, man kunne be om sletting og retting (i hvert fall i den norske fortolkningen), nå kan man også be om utlevering og portering, samt motsette seg behandling av egne data (f.eks ifm kredittbehandlinger etc). Som det eksisterende norske regelverket, er det enda strengere krav til at man må dokumentere formålet med databehandlingen (hvorfor er det nødvendig å behandle min informasjon?), samt at det faktisk foreligger et samtykke fra meg at det er greit med behandling av min personinformasjon. Dette samtykket må dokumenteres, så lenge det foregår behandling av personopplysningene – men kan selvsagt når som helst trekkes tilbake av den det angår.

 

For virksomhetene som behandler data bidrar nytt regelverk til at man må i større grad dokumentere det man gjør, dokumentere risikovurderinger, samt være forberedt på raskere og bedre informasjon når noe går galt, både til myndigheter og de man har behandlet personopplysninger på vegne av. Alle nye systemer som behandler personopplysninger må hensyn ta regelverket når man utvikler løsningene (privacy by design), samt at alle innstillinger skal være personvern-vennlige (privacy by default). Det blir også en rekke nye stillinger av det nye regelverket – personvernombudene vil øke kraftig i antall i norske virksomheter, særlig større virksomheter over 250 ansatte, virksomheter som har behandling av persondata som kjernevirksomhet, og alle offentlige virksomheter plikter å opprette en slik stilling, men det er nok en god del flere som vil ønske å få bedre kontroll med det som potensielt kan medføre store konsekvenser for både omdømme og bunnlinje om reglene brytes. EU har etablert et helt nytt nivå på sanksjoner i forbindelse med utarbeidelsen av regelverket, med opptil 4% av global omsetning for selskaper som særlig grovt overtrer bestemmelsene (og EU har tidligere vist at de mener alvor i slike saker, ref noen av bøtene som konkurransemyndighetene har utferdiget til aktører som Google og Facebook de siste årene).

 

Hva bør man således gjøre nå, for å sikre etterlevelse av nytt regelverk? Først og fremst handler det om å få oversikt over alle behandlinger som i dag foregår i virksomheten – og de som har et fungerende internkontroll-system vil dette være lett å utarbeide. Dernest blir det å vurdere eksisterende rutiner inn mot de skjerpede kravene som ligger i det nye regelverket, og her vil det særlig være grunn til å se på systemene hvor databehandling foregår. Det bør også foretas en vurdering av om man etterlever bestemmelsene om ikke å samle inn mer informasjon enn strengt nødvendig, den såkalte dataminimeringsbestemmelsen. Endelig bør man selvsagt se på egen datasikkerhet – er det noen svake punkter i produksjonskjeden hvor det er risiko for lekkasje av personopplysninger, enten fordi man er uvøren eller fordi man blir hacket, vel da er dette det perfekte tidspunktet å ta frem lappesakene. Sist, men ikke minst – personvernet er ikke lenger en arena bare for jurister eller IT-folk som jobber med datasikkerhet. Man bør bygge en kultur internt i sin organisasjon hvor ansatte har bevissthet rundt behovet for godt personvern, og hvor man alltid har dette med i vurderingen i sitt daglige virke. Personvernet blir således flyttet opp til å bli noe styrer og ledergrupper jevnlig bør ta en vurdering av, og som ansatte må få inn som en del av opplæringen og oppfølgingen.

 

Dette er ikke helt enkelt, men det er heldigvis tid igjen. Den positive nyheten er at de virksomhetene som lykkes i sitt arbeid med godt personvern, vil være vinnerne i den nye, digitale økonomien – de vil få flere kunder, mer attraktive samarbeidspartnere og leverandører og mindre problemer med medieoppslag og anmeldelser fra våkne borgere.

 

For ESOMAR blir dette det viktigste fokuset i 2017 og 2018 (konkurrerer til og med ut feiringen av organisasjonens 70-årsjubileum), og mye av jobben blir å gi medlemmene råd om hvordan de skal klare overgangen til nytt regelverk. ESOMARs nettsider www.esomar.org er et utmerket sted å kikke om du jobber med markedsanalyse.

 

Adm. dir. John Lauring Pedersen holdt presentasjon om hva de nye personvernreglene betyr for analysebransjen.