20. juli i fjor ble EUs nye forordning for personvern, GDPR, en del av norsk lov. Det innebar nye regler for innsamling og behandling av persondata. For de fleste virksomheter betyr det betydelig skjerpelse av pliktene.

Få orden på persondata

Innføringen av det nye direktivet har ført til en omfattende jobb med kartlegging og utarbeidelse av rutiner. Man må blant annet dokumentere følgende:

  • Hvilket grunnlag har man for å oppbevare personopplysninger? Har for eksempel den det gjelder gitt sitt samtykke? Og hva skal informasjonen brukes til?
  • Hvilke rutiner har man for oppbevaring og sletting av personopplysninger?
  • Hvordan sikrer man at rutinene følges og at informasjon ikke misbrukes eller oppbevares ulovlig?

Arbeidet med GDPR handler om å skape bevissthet, få oversikt og ha gode interne retningslinjer. Selv om det for mange ble mye å gjøre før direktivet trådte i kraft, er det pågående arbeidet med GDPR like så viktig og angår både de som har et internt og de som har et eksternt fokus siden personvernreglene omfatter både ansattinformasjon og kundedata.

Gry Anita Langsæther er jurist og rådgiver innenfor GDPR, HMS og arbeidsrett hos Sticos. Hun har erfart et stort behov blant bedrifter for starthjelp for å komme i gang med GDPR-arbeidet. Med deres workshop, Serious Game, har Sticos hjulpet over 150 virksomheter med å få oversikt over regelverket og få kartlagt den nåværende GDPR-situasjonen i egen bedrift. 

 

Gry Anita Langsæther,
Jurist og rådgiver i Sticos
— Vår erfaring er at personvernforordningen oppfattes som uoversiktlig og vanskelig, men når virksomhetene har utarbeidet GDPR-rutiner og dokumenter, oppleves ikke regelverket så «slitsomt» som i begynnelsen.

Vil kreve tydelig ledelse 

Allikevel ser Langsæther og Sticos at selve gjennomføringen av GDPR stagnerer, og kun enkelte deler av forpliktelsene er prioritert. Det er med andre ord et behov for konkret veiledning om regelverket og en handlingsplan for behandling av personopplysninger.

For å kunne sikre et godt GDPR-arbeid på daglig basis, mener Langsæther at det først og fremst må tas et ledelsesansvar slik at det settes av nok tid og ressurser til å jobbe med personvernforordningen. Samtidig må ledelsen erkjenne at GDPR er et kontinuerlig arbeid. 

- Et årshjul som viser hva man skal gjøre til enhver tid er et nyttig hjelpemiddel for å holde fokus og sikre kontinuitet i arbeidet. De fleste personvernbrudd skjer på grunn av menneskelige feil og det er derfor viktig å skape en bedriftskultur der personvern tas på alvor, sier hun. 

For Langsæther er det avgjørende at ledelsen og de ansatte i virksomhetene har en bevissthet om hvorfor personvern er viktig, og ikke bare arbeider med GDPR for å sikre seg mot å bli ilagt høye bøter og omdømmetap. Virksomheter med et godt personvern virker positivt for forbrukerne og gir dermed en konkurransefordel.  Virksomheter som har en god personvernstrategi kan også stå sterkere i en rekrutteringssammenheng. 

- En inngang er å tenke at personvern ikke bare handler om regelverk og etterlevelse, men også om moral. Det er moralsk riktig å verne personopplysninger, fordi det handler om enkeltindividets grunnleggende rettigheter, avslutter Langsæther.