Del

Hvor godt kjenner du som styremedlem de nye personvernreglene?

De nye reglene som trer i kraft neste år, er ikke en jobb som kan overlates til IT-avdelingen. Ekspertene er tydelige: – Dette krever at hele styret og toppledelsen er med på endringsprosessene. 

Få oversikt over GDPR

Datatilsynet har laget mye materiale som kan hjelpe både deg som leder i en bedrift og dine IT-ansatte til å forstå hva som må gjøres innen de nye reglene trår i kraft i Mai 2018.

Få oversikt

25. mai neste år blir EUs nye forordning for personvern, GDPR, norsk lov. Det betyr nye regler for innsamling og behandling av persondata. For de fleste virksomheter vil det oppleves som en betydelig skjerpelse av pliktene som finnes i dag.

Krever at alle engasjerer seg

Tilpasningene til det nye regelverket er et toppleder- og styreansvar, men vil kreve involvering fra hele organisasjonen.

– Dette er på ingen måte en enkel IT-jobb. Dette handler først og fremst om mennesker, ledelse og forretningsmodeller. Kunnskapen ligger ikke bare i koding og API-er. Kunnskapen ligger i å kunne implementere endringer, sette i gang nye prosesser og å kunne etablere gode partnerskap, sier styremedlem i Danske Bank, Hilde Tonne.

Arrangerer topplederkonferanse

Tonne får støtte av GDPR-ekspert i BDO, Henrik Dagestad.

– IT-ledelsen bør definitivt komme på banen, men arbeidet med GDPR vil også kreve at ledere med ansvar for slikt som HR, salg, kundedialog og markedsføring involveres aktivt i prosessen. God informasjonssikkerhet er viktig, men skal man etterleve kravene i GDPR, er man i tillegg nødt til å etablere en solid internkontroll, sier Dagestad.

Både Tonne og Dagestad vil i en serie topplederkonferanser i Trondheim, Stavanger og Oslo denne høsten fokusere på de kommersielle oppsidene som ligger i de nye personvernreglene.

Les mer om GDPR-konferansen

Få orden på persondata

Innføringen av det nye direktivet vil føre til en omfattende jobb med kartlegging og utarbeidelse av rutiner. Man må nå blant annet dokumentere følgende:

  • Hvilket grunnlag har man for å oppbevare personopplysninger? Har for eksempel den det gjelder gitt sitt samtykke? Og hva skal informasjonen brukes til?
  • Hvilke rutiner har man for oppbevaring og sletting av personopplysninger?
  • Hvordan sikrer man at rutinene følges og at informasjon ikke misbrukes eller oppbevares ulovlig?

Dagestad understreker at arbeidet med å skape bevissthet, oversikt og interne retningslinjer angår både de som har et internt og de som har et eksternt fokus siden personvernreglene omfatter både ansattinformasjon og kundedata.

 

Vil kreve tydelig ledelse

Hilde Tonne legger vekt på at man ikke kan forsøke å møte de digitale utfordringene man nå møter, med gårsdagens erfaringer og gamle systemer.

– De som forsøker å møte denne digitale utfordringen med sine manuelle systemer, kommer til å drukne. Man må tenke helt på nytt rundt grunnleggende kjerneprosesser. Styre- og konsernledelse må våge å gjøre de endringene som kreves, sier hun og fortsetter:

–GDPR og andre regulatoriske pålegg fremtvinger prosesser som uansett må gjøres for å møte kundens behov i en global og digital konkurranse. Det er en stor og omfattende ryddejobb som kommer til å gjøre vondt. Det er ikke noe man kan gjøre overfladisk. Man kan ikke late som, man må gjøre det på ekte. Og det må starte på toppen, sier Tonne.

Hennes erfaring er at det vanskeligste i slike prosesser er å få en samlet ledelse til å stå bak endringene som kreves.

–Mange styrer og ledere ønsker å kjøre et nullsumsspill. De ønsker å holde balansen kontinuerlig, ikke gjøre for store endringer for fort. Det er dessverre ikke lenger mulig. Å ta steg for steg blir vanskelig. Ledere kommer til å føle at de står på utrygg grunn mer enn før. De må tørre å kannibalisere på dagens inntekter, gå for helt nye kundetjenester, tørre å utfordre dagens prosesser og måter å jobbe på, sier Tonne.