På tide å operasjonalisere GDPR
For de fleste av oss handler hverdagen om prioriteringer, i jobb og privatliv. Ofte gjøres prioriteringene ut fra hva som oppfattes som viktigst. I den vurderingen er det alltid ubalanse mellom de konkrete ‘her-og-nå’ problemene fremfor mulige fremtidige. Hvis oppgavene i tillegg oppfattes som vanskelige er det lett å skyve på de i prioriteringene.
GDPR er et godt eksempel. Mange gjorde et krafttak våren 2018, men kanskje med litt enkle løsninger for å komme i «mål». Siden er det andre områder som har fått prioritet, og ferdigstillelsen med oppfølging og gjennomføringen av tiltak og prosedyrer ligger uløst, kanskje med unntak av noen manuelle sporadiske prosesser.
Først litt bakgrunn
GDPR er et felles regelverk for hele EØS området. Målsettingen er å sikre et effektivt indre digitalt marked i EU. Gitt omfanget av lovverket, er det imponerende at loven ble utarbeidet og behandlet i alle instanser i EU på rekordtid. Det understreker hvor viktig personvern, og tilrettelegging for digitalisering, er for EU.
Forvaltningen av regelverket går på tvers av landegrensene. Det betyr for eksempel at hvordan loven blir praktisert i Tyskland eller Polen vil komme til anvendelse her. I disse landene er det 150 millioner innbyggere med et helt annet historisk forhold til misbruk av personopplysninger. Skal man vinne tillit hos disse må regelverket praktiseres strengt, da hjelper det lite om det Norske Datatilsynet normalt har valgt en annen tilnærming. Dette er i ferd med å ta form. I Datatilsynets årsrapport henvises det til et betydelig antall grenseoverskridende saker hvor de nå bygger erfaring.
Se video: GDPR forklart på tre minutter.
Konsesjon erstattet med bevisbyrde
GDPR er ikke en storm i et vannglass, men et reelt klimaskifte. Det er et omfattende lovverk som treffer inn i alle virksomheter og i alle deler av virksomhetene - kronisk. Vi som enkeltpersoner har fått styrket våre rettigheter, mens bevisbyrden ligger på virksomhetene. For eksempel bortfalt kravet om å søke Datatilsynet om konsesjon for behandling av personopplysninger ved innføringen av GDPR.
«Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at prinsippene overholdes («ansvar»)» (artikkel 5.2).
Det angår også deg
De fleste tenker at det ikke er dem som Datatilsynet vil ta, og det med rette. Men, mekanismene i GDPR er altså designet slik at det ikke er Datatilsynet som skal sikre overholdelsen. Det ansvaret har bedriften selv. I praksis betyr dette blant annet at virksomheter må kvalitetssikre at de leverandører og databehandlere de benytter kan demonstrere etterlevelse. Kan dere dokumentere at alle dere deler data med etterlever regelverket? Kan dere dokumentere dette om en kunde spør?
Samtidig oppfordres vi som enkeltpersoner til å bruke våre rettigheter og klage til Datatilsynet om vi mener det er brudd på regelverket. I de 9 første månedene siden loven trådte i kraft har det blitt sendt inn ca 100 000 klager til datatilsyn i Europa, flere av de grenseoverskridende.
Den største eksponeringen er kanskje ansatte i konflikt med arbeidsgiver. De har fått en gavepakke med nye muligheter til å eksponere virksomhetens praksis, eller manglende sådan. Deloitte har for eksempel nylig publisert en undersøkelse om overvåkning som nettopp demonstrerer en tydelig mangel på kompetanse blant ledere. Det er sannsynligvis en god illustrasjon om status på forståelsen av GDPR også.
Les også: Har du fått GDPR i fanget?
Utover at virksomheten må demonstrere etterlevelse av GDPR er det betydelige sanksjonsmuligheter ved brudd på regelverket; fra beordring av stans i databehandling/sletting av data til større bøter. Videre åpnes det for massesøksmål og uansett er det betydelig omdømme- og forretningsrisiko. Advokat Kristian Foss i Bull & Co har beskrevet et interessant case som setter dette i perspektiv. Telenor risikerer krav på over 300 millioner.
For investorer er det derfor viktig å velge et styre som ivaretar forvaltningen på en god og lovlig måte. Dette ansvaret delegeres til daglig ledelse. Det er verdt å nevne at ansvarsforsikring normalt ikke dekker sanksjoner ved lovbrudd. Det betyr at styremedlemmer og daglig leder kan stå personlig ansvarlig for eventuelle bøter.
Hvordan skal dette dokumenteres?
Pr i dag er det mange som har kartlagt data i Excel og laget rutinebeskrivelser i Word. Det er tegnet mange databehandleravtaler og oppdaterte personvernerklæringer på nettsider. Men hvordan påviser bedriftene at de faktisk følger egne rutiner (internkontroll). Her er det mange manuelle og fragmenterte prosesser og et stort behov for å operasjonalisere GDPR.
"The focus for the second year of the GDPR must be beyond baseline compliance – organisations need to shift their focus on accountability" skrev nylig Elisabeth Denham (leder av datatilsynet i UK) i sin årsblogg om GDPR.
Det er overraskende lite informasjon om hvordan etterlevelse faktisk skal påvises. Men gitt den underliggende eksponeringen og betydningen av personvern i EU, er det fristende å søke inspirasjon andre steder.
Jeg har bakgrunn innen økonomi og finans og har hatt ledende internasjonale toppstillinger med globalt og europeisk ansvar. I den verden er compliance et kjent begrep og det er lett å søke inspirasjon i Sarbanes Oxley (SOX) rapportering for internkontroll som en metode for hvordan etterlevelse skal påvises. SOX er en del av den finansielle rapporteringen for amerikanske børsnoterte selskaper. Der er det ikke fokus på tallene i seg selv, men i prosessenes integritet. Og, det er en rigid rapportering for å demonstrere etterlevelse som lett kan drive en virksomhet til vanvidd. Når man ser den betydelige finansielle risikoen som GDPR representerer vil jeg bli overrasket om det ikke introduseres tilsvarende krav til noteførsel i regnskapene i Europa fremover, men dette er selvsagt spekulasjon.
Les også: Slik etterlever du GDPR-kravene
Hva gjør man?
Mange har våknet opp til GDPR, men hvor dypt stikker det? Etter en intens vår og sommer i fjor, virker det som mange har gått lei. Men det er nå det virkelig begynner, og når man ser på omfanget av regelverket opp mot virksomhetenes dedikerte ressurser er det en betydelig mismatch. Enkeltpersoner får delegert oppgaver eller ansvar, men får ikke tilstrekkelige ressurser, fokus og støtte.
De som har fått ansvaret, men ikke mandat, har en utfordring. Det er ledelsens ansvar.
Datatilsynet har registrert 1700 personvernombud. Dette er mange dyktige mennesker, men har de fått forutsetninger til å fylle rollen? Selv i offentlig sektor som behandler store mengder personopplysninger feiler dette.
Som privatperson tenker jeg at dette ikke er greit. Det er mine opplysninger. Da er det lite sympatisk at ledelsen nedprioriterer dette og skyver det fremfor seg.
Er teknologi løsningen?
Mange selskaper henviser til at systemleverandøren de bruker har bekreftet at systemet er compliant. Det er for enkelt. For å sammenligne med den fysiske verdenen bruker jeg ofte veitrafikkloven som eksempel. Alle bilprodusenter leverer biler med blinklys, speedometer og bluetooth slik at du som fører er i stand til å følge regelverket, men det er du som bestemmer om du kjører for fort, ikke bruker blinklys eller snakker med mobilen på øret. Det er du som er ansvarlig.
For sammenligningen med GDPR må du altså kunne påvise etterlevelse av regelverket: På veien løses det med en ferdsskriver. De fleste virksomheter har mange systemer som brukes for forskjellige formål og kategorier av personer som ansatte, kunder, forretningsforbindelser og lignende. Da kan det være nyttig med en «ferdsskriver» som dekker på tvers av systemporteføljen - som gir oversikt og dokumenterer kontroll.
Med et slikt system er man også godt forberedt om uhellet skulle være ute og man må rapportere med kort tidsfrist, som for eksempel ved databrudd.
Les også om hva du må tenke på når du velger GDPR-verktøy
Hva oppnår man?
Mange oppfatter GDPR som trøblete og det er lett å prioritere bort. Men for de virksomhetene som etterlever regelverket, åpner det seg helt nye markeder på tvers av Europa. Har dere en god tillit hos kundene kan dette i tillegg føre til at din virksomhet har et konkurransefortrinn ovenfor andre selskaper som ikke har orden. Man får samtidig bedre kontroll på egen virksomhet, og om eierne vil ønske å selge kan man møte diskusjonene med investorer på en god og trygg måte.
For de som feiler, der regler blir brutt og personer eksponert, kan det blir kostbart og ødeleggende fokus med mediedekning, massesøksmål, sletting av data, stans i behandling og til slutt en bot.
Les også vår utfyllende guide: Hva er GDPR?