11. januar 2018

Fem måneder igjen til GDPR

Henrik Dagestad

Henrik Dagestad

Advokat, BDO Advokater AS
E-post: [email protected]bdo.no
Telefon: +47 901 77 117

Om under fem måneder blir EUs nye personvernforordning (GDPR) innført i Norge. Spesielt de små og mellomstore virksomhetene vet ikke hvordan de skal tilnærme seg det nye regelverket, sier personvernekspert og advokat i BDO, Henrik Dagestad.

– For meg virker det som om det spesielt er små og mellomstore virksomheter som sliter med å forholde seg til dette. Noen tror sikkert det kun er relevant for de største selskapene, mens andre finner det hele altfor komplekst, sier Dagestad.

25. mai 2018 innføres GDPR i Norge. Dagestad har i høst reist land og strand rundt, delvis i tospann med Datatilsynets leder, Bjørn Erik Thon, for å forklare hva de nye reglene innebærer og hvordan du best kan tilpasse deg dem. Han har klare råd for dette også til SMB-virksomhetene.

– Det kan ikke kreves at en virksomhet med få ansatte skal ha 18 rutiner for god internkontroll. I en liten eller mellomstor bedrift må du som leder heller ha en risikobasert tilnærming der du kartlegger de personopplysningene dere faktisk behandler og avklarer hvor risikoen for avvik er størst, forklarer den erfarne personverneksperten.

Les også: Slik starter du GDPR-tilpasningen nå

Han understreker at kravene som stilles må forstås i lys av risikobildet og hva som er bedriftens kjernevirksomhet.

– Hvis virksomheten ikke dreier seg om behandling av personopplysninger, vil ikke arbeidet du trenger å legge ned være like omfattende som den jobben eksempelvis forsikringsselskaper og virksomheter innen helse- og omsorgssektoren må gjennomføre.

Les også: Vurder din risiko

Bøter i millionklassen

GDPR vil ifølge Dagestad ha betydning for alle norske virksomheter, både i privat og offentlig sektor.

– Det kreves bedre oversikt og kontroll med alle personopplysninger en virksomhet oppbevarer. Og de som ikke følger de nye reglene, risikerer bøter i millionklassen.

Den erfarne personverneksperten mener at GDPR kan oppleves som vagt og delvis forvirrende, og både Thon og Dagestad har i møte med norske bedriftsledere over det ganske land faktisk anbefalt at man ikke begynner arbeidet med å lese hele GDPR. Dagestad tror at den for de fleste kun vil skape mer forvirring.

– Jeg har i høst fått spørsmål fra kurs- og konferansedeltakere om GDPR innebærer at de nå må bolte arkivskapene sine til kontorveggen. Dette kan man selvfølgelig smile litt av, men det sier først og fremst noe om hvor lite håndfast de nye reglene oppleves å være. Både Datatilsynet og andre eksterne eksperter er langt bedre steder å søke råd enn selve forordningsteksten, sier Dagestad.

Les også: Derfor kan nye personvernregler bli et konkurransefortrinn

Tre GDPR-punkter som raskt må på plass

Her er noe av det viktigste som bør være på plass i løpet av kort tid hvis du som virksomhetsleder ønsker å rekke tidsfristene.

1. En oversikt over alle personopplysninger som virksomheten behandler må nå settes inn i system. Du må skille mellom ulike kategorier personopplysninger og til hvilke formål opplysningene behandles. I en slik prosess bør både HR-, IT- og eventuelt juridisk avdeling kobles inn. Dette for å få den hele og fulle oversikten over dagens rutiner for behandling av personopplysninger og hvordan disse stemmer overens med det nye regelverket.

2. De enkelte behandlinger må også risikovurderes. Dette betyr blant annet at du må se på personvernrisikoen ved at informasjon kan komme på avveie.

3. Virksomheten bør avklare om de trenger et personvernombud. Alle offentlige virksomheter må i utgangspunktet ha et slikt ombud. I tillegg må private virksomheter ha personvernombud når hovedvirksomheten består i å regelmessig og systematisk overvåke personer i stor skala eller der hovedvirksomheten består av behandling av sensitive personopplysninger i stor skala.

Kontakt oss gjerne om du har spørsmål

DEL DETTE INNLEGGET: