27. oktober 2017

Slik kan mellomstore bedrifter møte endringene i personvernregelverket

Henrik Dagestad

Henrik Dagestad

Advokat, BDO Advokater AS
E-post: [email protected]
Telefon: +47 901 77 117

På papiret kan det virke som en nærmest uoverkommelig oppgave for små og mellomstore bedrifter å tilpasse seg neste års endringer i personvernreglene. Dette er hva du som leder må gjøre for at oppgaven skal bli håndterbar.

– I prinsippet skiller de nye reglene i noen grad mellom store og små virksomheter, men mange mindre virksomheter vil likevel oppleve GDPR som overveldende. Hvis man først og fremst fokuserer på den reelle risikoen bedriften har for å trå feil, bør det være fullt mulig å få på plass det mest nødvendige innen tidsfristen neste år, sier personvernekspert Henrik Dagestad i BDO.

Kan bli et konkurransefortrinn

Dagestad leder BDOs ekspertgruppe på området, og vil i en serie topplederkonferanser i Trondheim, Stavanger og Oslo denne høsten fokusere på de kommersielle mulighetene som ligger i den nye forordningen.

– Mange små og mellomstore bedrifter lever av å være leverandører til større virksomheter. Disse leverandørvirksomhetene kan oppleve et betydelig konkurransefortrinn hvis de er bedre enn andre leverandører til å dokumentere at de har tilpasset seg reglene, sier Dagestad.

Les også: Derfor kan nye personvernregler bli et konkurransefortrinn

Skjerpede plikter

Når EUs forordning for personvern (GDPR) blir norsk lov i mai 2018, betyr det at vi får et nytt regelverk som for de fleste virksomheter vil oppleves som en betydelig skjerpelse av de pliktene som finnes i dag.

Les også: Hva blir nytt med forordningen? 

En risikobasert tilnærming

– Det kan ikke kreves at en virksomhet med få ansatte skal ha 18 rutiner for god internkontroll. I en liten eller mellomstor bedrift må du som leder heller ha en risikobasert tilnærming der du må kartlegge de personopplysningene dere faktisk behandler og avklare hvor risikoen for avvik er størst, sier Dagestad.

Han understreker at kravene som stilles må forstås i lys av risikobildet og hva som er bedriftens kjernevirksomhet. Hvis virksomheten ikke dreier seg om behandling av personopplysninger, vil ikke arbeidet man trenger å legge ned være like omfattende som den jobben eksempelvis forsikringsselskaper og virksomheter innen helse- og omsorgssektoren må gjennomføre.

Dette bør du få på plass

Når de nye reglene trer i kraft 25. mai neste år, er det mye som skal være på plass. Men Dagestad mener at små og mellomstore bedrifter bør begynne med å få orden på følgende:

1. En protokoll med oversikt over alle personopplysninger som virksomheten lagrer, hvor personopplysningene kommer fra og hva som er det rettslige grunnlaget for behandlingen
2. En personvernpolicy
3. En overordnet risikovurdering
4. Databehandleravtaler med aktuelle leverandører (databehandlere)

Virksomhetene er i tillegg pålagt å ha tilfredsstillende informasjonssikkerhet, og i det nye regelverket understrekes det at arbeidet med informasjonssikkerhet er en kontinuerlig prosess. Dette innebærer at virksomheter plikter å holde seg oppdatert på hvilken teknologi som er tilgjengelig for å sikre personopplysninger på beste måte.

Les også: Risikovurdering og informasjonssikkerhet

– Som leder risikerer du dermed å bli holdt ansvarlig dersom du ikke sørger for å ha på plass teknologi som sikrer personopplysninger på en god måte, sier Dagestad.

DEL DETTE INNLEGGET: