Innlegg av Director og advokat Bjørn Ofstad og advokatfullmektig Charlotte Thuesen, Deloitte Legal
Det er svært interessant å være advokat som jobber med personvern og teknologi om dagen, med økt fokus på et tema som engasjerer bredt. Som rådgiver ser vi både utfordringene som venter, men også de positive effektene virksomheter møter i jakten på personvernet. Virksomheter har nå begynt å forstå den virkelige grunnen til hvorfor det er viktig å satse på et godt personvern; det er ikke (bare) fordi nytt regelverk er på trappene, men fordi brukerne – borgerne – bryr seg. Satser dere på personvern, setter dette i fokus i alle prosesser, får dere et konkurransefortrinn i bransjen dere er i. Det er vårt beste råd fra innsiden av rådgiversiden i disse dager hvor GDPR (General Data Protection Regulation) er på alles agenda og styrebord.
Som
Som personvernadvokat ser vi alle de små og store personvernspørsmål som rører seg hos virksomheter om dagen. Det er alt fra de konkrete spørsmålene, om et samtykke må innhentes slik og slik, når må data slettes og til de større prosjektene hvor vi bidrar med å kartlegge både dataflyt og prosesser hvor personopplysninger behandles. Fellesbetegnelsen hos de fleste er gjerne litt uro, en del usikkerhet, men også en del som allerede er på plass og en entusiasme over synergier som dukker opp.
Konkurransefortrinn
Det er vanskelig å gi noen «quick-fix», men mye handler om å møte individene på deres rettigheter. Virksomhetens verdier er ofte bygget opp på kundedata, og for å sørge for videre verdiskapning kan man ikke ignorere at det er noen andres eierskap man forvalter. Vi ser at omdømmet påvirkes. Det er uten tvil et konkurransefortrinn å tilby godt personvern.
Der vi ser mye kan gjøres for å nærme seg et godt, sikkert personvern i tråd med nytt regelverk, er særlig innen disse tre områdene:
- Dokumentasjon av hva, hvem og hvordan.
Dokumentasjonskravene øker, men vil ha nytteverdi også internt. God dokumentasjon inkluderer for eksempel å ha kunnskap om hvem som har lov til å utføre aktiviteter, hvordan kundekontakt skal utføres og – ikke minst – hvem er våre kunder?
- Oppdatere databehandleravtaler med leverandører.
Det har alltid vært viktig å velge samarbeidspartnere og leverandører med omhu. Men husk på at dersom noen behandler data for dere vil dere fortsatt ha det overordnede ansvaret. Det kan koste, både i sanksjoner og i omdømme om eksempelvis deres underleverandør behandler person-opplysninger i strid med regelverket.
- Håndtere henvendelser fra individene.
Det er individene som har eierskap til egne opplysninger. Individet får flere rettigheter etter GDPR. Dere må møte disse riktig, og på deres premisser. Det er nye krav i regelverket, både til innhold og informasjon, og til svarfrister som dere må være kjent med.
Håndterer du en disse tre områdene godt, vil en kunne nærme seg en ansvarlig forvaltning av individers data og få positive effekter i form av et konkurransefortrinn over de som ikke enda har gjort jobben som må gjøres.
Avkrefte den tyngste myten
Til slutt kan vi kanskje bidra til å avkrefte den seigeste myten vi hører – «dette klarer vi ikke å få til».
Vi ser det er noen tema som går igjen, og som mange virksomheter spør oss om. Det mest utfordrende spørsmålet vi får er hvordan en virksomhet egentlig kan få til å etterleve et regelverk som griper så kraftig inn i alle prosesser i en virksomhet.
Svaret er som følger - hele organisasjonen må være med, både i endringsprosessen og i fremtidig etterlevelse. Ledelsen må på banen, men det samme må mellomledere, og den enkelte ansatte. De som kommer i kontakt med personopplysninger må ha kunnskap om regelverket. Innkjøpsavdelingen må være kjent med ansvaret for leverandørers behandling av personopplysninger. Og personvern må ivaretas ved utvikling, test og produksjon. Et triks er å begynne å tenke Privacy by Design – innebygget personvern – i alle ledd og prosesser dere utfører.
Og dette får dere til. Personvern engasjerer, så fremt motivasjonen er på plass. Og med konkurransefortrinn som målsetting bør det engasjere enhver.
Lurer du på neste steg for å bli klar for den nye personvernlovgivningen? Last ned vår kom-i-gang-sjekkliste for GDPR.
Nysgjerrig på vår GDPR løsning ayfie Supervisor - ta kontakt med oss!
