GDPR gjelder ikke oss

• Bare to prosent av bedriftslederne sier de har god innsikt i personvernforordningen. 98 prosent har det ikke.
• 60 prosent svarer at de ikke vet om de kan legge frem dokumentasjon på hvordan bedriften håndterer personopplysninger eller at de vet at de ikke kan dokumentere hvordan de håndterer slike opplysninger.
• Kun én av ti norske virksomheter har startet arbeidet med å tilpasse seg den nye, svært omfattende lovgivningen GDPR, til tross for at Datatilsynet lenge har anbefalt at man begynner.
• Én av tre bedriftsledere kjenner ikke til forordningen overhodet.

Dette er svært urovekkende tall. Ikke bare fordi det kan få betydelige økonomiske konsekvenser for bedriftens ringe eksistens, men også fordi prislappen på omdømmekostnader som følger at en bedrift ikke tar kundenes private opplysninger på alvor, fort kan bli en kostbar affære. 

- Dette gjelder ikke vår bedrift

Jo, det gjør sannsynligvis det, for loven som skal gi forbrukere flere rettigheter og innsikt i informasjon om dem selv, trer i kraft om et drøyt år og bare 40 prosent av bedriftsledere sier at de har gode nok personvernforordninger i dag. Lovverket vil gjelde enhver bedrift som håndterer kundeinformasjon uansett bransje, være seg frisørsalonger, tannlegeklinikker, advokatfirmaer, shippingselskaper eller arkitektstuer. De fleste bedrifter elsker persondata fordi det gir bedre og mer tilpassede tjenester, men med eierskap følger det også ansvar.  

Å utsette forberedelsene til den nye personvernforordningen GDPR er som å ikke rense skiene sine for klister etter endt sesong: Det er dumt og du vil angre, for som alt annet du gruer deg kan GDPR-konsekvenser klistre seg fast der det absolutt ikke skal sitte.

Tidligere i år leste vi om Rema 1000s mobilapp «Æ» hvor kjøpshistorikken til flere lå åpent og tilgjengelig for alle som ønsket ta det. Remas kommunikasjonsavdeling møtte feiltrinnet som neste år kan koste bedriften store beløp med å riste på skuldrene. Det er reaksjonen som faktisk er kritikkverdig: for de fleste kunder er sikkerhet og personvern viktig, og det er enkeltindividet som selv kan føle hvor grensen for hva som er greit å dele med allmennheten går.

Eksempelet er bare et av mange bedrifter som henter inn store mengder informasjon i dag. Arbeidet som trengs for å sikre bedriften i forkant av GDPR-innføringen er omstendig. Spesielt for de 60 prosent som innrømmer at de ikke kan dokumentere hvordan bedriften behandler personopplysninger i dag.

Kun én av ti norske virksomheter har startet arbeidet med å tilpasse seg forordningen. 15 prosent av lederne sier de skal starte forberedelsene i løpet av 2017. Resten – altså 75 prosent tenker at det rekker å gjøre dette på fem korte måneder i 2018, til tross for at Datatilsynet anbefaler at man begynner allerede nå. Over 50 prosent av ledere i offentlig sektor vet ikke når de vil begynne.

Det finnes bra informasjon der ute, for eksempel på Datatilsynets nettsider, men det krever myndighet, innsyn og mandat for å faktisk utføre det som kreves. Samtidig må vi anerkjenne at det er et kunnskapsgap: GDPR er ikke enkelt, noe vi kan innrømme og være ærlige om. Desto viktigere er det å sette fokus på det.

Hva gjør Atea?

Vi er ikke så innmari flinke, men vi tar dette på ytterste alvor. Prosjektgruppe. Alle data skal vaskes i alle selskaper. Identifisere alle lagringskilder og hvordan det brukes. Atea er en smeltedigel av mange selskaper, og tilsvarende mange systemer. Forankret arbeidsgruppe fra toppen i selskapet med tett overvåkning. Vi har satt sammen ett team per marked som jobber med lagring, sikkerhet og kvalitet.

Dette skal ikke glippe for oss.

Vil du lære mer om GDPR?

Kontakt vårt sikkerhetsteam eller meld deg på Sikkerhetsdagene 2017!