Det er den ukontrollerte risikoen du mister nattesøvnen av

Personvern er ikke bare en compliance risiko, det er en forretningsrisiko. Kanskje det er på tide å behandle den som det også?

Uansett om du er daglig leder, konsernsjef eller kommunaldirektør har du ansvaret for virksomhetens resultater og risiko. For å ha kontroll på dette har dere relevante nøkkeltall det rapporteres på. Nøkkeltall som er et resultat av erfaringer om hva som kan gå galt, og som gir innsikt i driften. Disse følges opp i ledermøter og med akkumulert rapportering i styret. Om det er avvik settes det i gang tiltak og omprioriteres ressurser.

Personvernrisikoen inngår sjelden i nøkkeltallene. Dette er kanskje fordi mange synes personvern er litt ullent og vanskelig å få tak på. Det er lett å tenke seg at ved å delegere ansvaret til IT-avdelingen og/eller jurister, så er problemet løst. Der tar mange feil.

Personopplysningsloven er så gjennomgripende at den treffer alle prosesser i en virksomhet. Om behandlingene av personopplysninger ikke møter kravene i loven må prosessen stanses, eller legges om. Det gir direkte konsekvenser for resultatet i virksomheten. Ikke bare ved risiko for bot, men mer sannsynlig som tap av inntekter, økte kostnader, tapt omdømme og tillit.

Personvern er så viktig at det må settes i en forretningsmessig sammenheng

 


Ikke bare Datatilsynet

Risikoen for å bli tatt av Datatilsynet er mikroskopisk. Men, er det virkelig risikoen ved å bli fersket av Datatilsynet som er relevant for prioriteringene? Først og fremst bør det være ønsket om å opprettholde, eller bygge, tillit. Stadig flere virksomheter stiller også krav i leverandørkjeden. Klarer du ikke å møte kravene mister du kunden. Så i tillegg til at det er et lovkrav, er manglende kontroll på egen verdikjede og personvern en reell forretningsrisiko.

Enkeltpersoner kan også gjøre en forskjell. I Helsingør kommune var det en bekymret pappa som stilte spørsmål om bruk av Google Chromebooks og Workspace i skolen. Akkurat hvor den saken vil ende vet vi ikke, men da det danske Datatilsynet beordret midlertidig stans i bruk av teknologien  skapte det STORE økonomiske, omdømme- og driftsmessige utfordringer for kommunen – og det var helt selvforskyldt.

 

Personopplysninger er penger

Som tidligere CFO i store internasjonale konsern sammenligner jeg ofte personvern med økonomi. Vi har full kontroll på økonomien, med løpende regnskapsførsel og detaljrapportering. Vi har rigide beslutningsprosesser for evaluering av avkastning, og risiko før investeringer iverksettes.

Hvilken kontroll hadde vi hatt på økonomien om det ikke var regnskapsførsel og løpende rapportering, men kun en manuell årlig oppdatering av kontoplanen? Om det ikke var noen struktur på mottak av penger, at de fløt i skuffer og skap uten noen krav til hvordan det skulle oppbevares?

Personopplysninger er en valuta på lik linje med kroner og øre, den er bare mye mer sårbar hvis noe går galt. De siste årene har det eksplodert i bruk av nye applikasjoner hvor vi samler og bearbeider personopplysninger - ofte helt ukritisk. Vi effektiviserer driften og bedrer innsikten med bruk av roboter og kunstig intelligens. Gjøres ikke dette riktig er det en tikkende bombe.

 

"Follow the money"

I dag er arbeidet med personvern ofte helt adskilt fra forretningsdriften. Dermed er det også en forretningsmessig risiko. Da blir det vanskelig å synliggjøre for toppledelsen hvilken underliggende risiko de faktisk løper.

Bruker dere kontantstrømrisiko til å prioritere personvernarbeidet blir dette mer relevant for forretningen og det blir lettere å kommunisere med toppledelsen. Hva er de viktigste prosessene og hvilke personopplysninger "konsumeres" i disse prosessene? Ved å koble behandlingsaktiviteter mot resultatregnskap/kontantstrøm, er det enklere å identifisere og følge de viktigste eksponeringene. Prioriteres disse vil arbeidet være risikobasert, men vektet ut fra forretningsmessige kriterier.

Det kan absolutt være at behandlinger med stor risiko for de registrerte da ikke prioriteres. Men om det er liten forretningsmessig betydning, burde ikke da hele behandlingen bare stanses?

 

Investorene på nakken

I disse dager er det mye snakk om beredskap, eller manglende sådan. Om tjenestene dere leverer ikke er tilgjengelige på grunn av dårlig IT-sikkerhet eller manglende etterlevelse av personvernet hjelper det ikke å peke på IT- eller personvernavdelingen. Linjeledelsen må ha planer for hvordan de kan fortsette å levere tjenesten. Hvilken toleranse har din virksomhet for nedetid? Tåler den avbrudd over tid? Hva betyr det i så fall for kontantstrømmen, og med det, verdiene du forvalter for investorene dine?

Immaterielle verdier utgjør ca 90 prosent av markedsverdien av børsnoterte selskaper. Verdien er altså stort sett knyttet opp i utsiktene til kontantstrøm, basert på hvordan virksomhetene opererer. Men, et fall i forventet fremtidig kontantstrøm vil få dramatiske konsekvenser for dagens verdi, og dermed treffe dagens investorer direkte og brutalt. Da er det ikke lenger snakk om fremtidige tap og gevinster, men sparepenger som går tapt. Dette fikk alle små og store lakseoppdrettsinvestorer kjenne på kroppen for noen uker siden. Da presenterte regjeringen sitt forslag til ny skatteordning og hvor over 60 milliarder kroner i børsverdier forsvant ved et pennestrøk.   

Om din manglende forvaltning av personvernet får konsekvens for kontantstrømmen og virksomhetens verdi kan du få investorene på nakken. I USA gikk aksjonærer i analysefirmaet Nielsen til søksmål mot selskapet, CEO og CFO på grunn av fall i markedsverdi i selskapet som følge av introduksjonen av GDPR. Etter fire år i rettssystemet er det nå inngått et forlik på 73 millioner dollar som venter på å bli stadfestet. 

 

Operasjonalisering viktig

Bærekraft er et mye brukt begrep, og for at en virksomhets kontantstrøm skal være bærekraftig må altså personvernet ivaretas. På samme måte som det forventes at en toppleder har sikret etisk handel gjennom hele verdikjeden, må også dataflyten kvalitetssikres.

Her er noen enkle spørsmål du kan stille deg selv, og som du bør kunne svare på for de viktigste forretningsprosessene:

  • Hvilke opplysninger behandles, hvor kommer de fra og hvem leveres de til?
  • Er dataene samlet inn for dette formålet, eller bruker vi data som egentlig er samlet inn for andre formål?
  • Selv om vi har mulighet til å bruke dataene, har vi kanskje ikke lov. Har vi tydelig juridisk grunnlag? Om det er rettslig forpliktelse eller allmenhetens interesse, kan vi da henvise til en spesifikk hjemmel?
  • Hvordan sikrer vi at de som er registrert faktisk blir informert om behandlingen på en forståelig måte?
  • Hvilke systemer/databehandlere og underdatabehandlere er involvert og har vi gyldige avtaler? Hvordan sikrer vi at vi har kunnskap om endrede vilkår?
  • Hva gjør vi om vi blir spurt om å legge frem de siste to versjonene av risikovurderingene?
  • Behandles noen av opplysningene utenfor EU/EØS, i så fall på hvilket grunnlag?
Videre er det viktig å få på plass en prosedyre som sikrer at alle nye aktiviteter også blir vurdert ut fra personvern før de iverksettes. Dette kan være alt fra nye tjenester som tilbys til markedet, eller interne forbedrings- og/eller effektiviseringsprosjekter.

 

Riktig verktøy er mer enn halve jobben

Ønsker du å diskutere relevante KPI-er og reduksjon av underliggende eksponering i din kontantstrøm? Da kan du ta kontakt med Christian Butenschøn i Iconfirm. 

Et godt verktøy sikrer deg god rapportering slik at ressurser kan prioriteres. I tillegg gir det mulighet for å løse oppgaver der kunnskapen er slik at man kutter ad hoc-rapportering og dobbeltarbeid.

Kontakt oss for en prat