06. mars 2018

Tre måneder igjen: Fire av ti virksomheter har ikke kontroll på GDPR

Kristian Thaysen

Kristian Thaysen

Partner, leder for rådgivning
E-post: [email protected]
Telefon: +47 940 15 007

Mindre enn tre måneder før de nye personvernreglene (GDRP) blir norsk lov, har hele fire av ti norske virksomheter fremdeles ikke kommet i gang med det mest grunnleggende tilpasningsarbeidet. Det viser en stor undersøkelse blant 800 ledere som BDO har utført i forbindelse med sin årlige Risikokonferanse.

Det er bekymringsfulle tall som fremkommer:

  • Hele 41 prosent av de spurte virksomhetene har ingen oversikt over alle personopplysningene de behandler.
  • Nesten like mange (37 prosent) har ikke gjort noen risikovurdering knyttet til behandling av disse personopplysningene. Bare 14 prosent svarer at de «i stor grad» har gjort dette.

– Resultatene tyder på at svært mange virksomheter virkelig begynner å få hastverk med å komme i mål før fristen. Å få oversikt over hvilke personopplysninger virksomheten behandler, er det første og mest grunnleggende steget du må ta for å komme i gang med tilpasningsarbeidet, sier fagansvarlig for personvern og GDPR i BDO, Arnt Olav Aardal.

 

Risikerer knusende omdømmetap og kjempebøter

– GDPR vil innebære en betydelig endring i risikobildet for norske virksomheter når det nye regelverket trer i kraft 25. mai. De risikerer både millionbøter og knusende omdømmetap, dersom de ikke har alt på plass. Virksomhetene kan også ende opp med erstatningsansvar, sier BDOs personvernekspert. De siste årene har Datatilsynet trappet opp overtredelsesgebyrene, opp mot det som er grensen i dag på rett under en million kroner. I den nye personvernforordningen fra EU heves overtredelsesgebyrene til 20 millioner euro eller 4 prosent av selskapets globale omsetning, avhengig av hvilket beløp som er størst.

Høyere risiko for å få erstatningskrav

– Det har vært mye snakk om økningen i rammene for overtredelsesgebyrer, mens risikoen for å bli utsatt for erstatningssøksmål har blitt underkommunisert, mener Aardal. Det er svært sannsynlig at vi vil se en økning i antall erstatningssaker knyttet til personvern i tiden fremover. GDPRs bestemmelser om erstatning er i all hovedsak i samsvar med gjeldende rett, men flere kjenner kravene i GDPR. Veien blir også kortere til gruppesøksmål, og dermed vil terskelen for å kreve erstatning bli lavere.

Oversikt over personopplysninger er nøkkelen

– Nøkkelen til å lykkes med GDPR er noe så banalt som å få oversikt over alle personopplysninger virksomheten behandler. Det er utgangspunktet for alt videre arbeid, sier Aardal.

I BDO-undersøkelsen fremgår det at så mange som 43 prosent av de spurte virksomhetene sier de er «noe forberedt» på de nye GDPR-reglene. En av fire innrømmer at de er lite forberedt. Bare tre av ti mener de er godt eller svært godt forberedt.

Les også: Slik starter du GDPR-tilpasningen nå

– Det er spesielt de mindre virksomhetene med under 50 ansatte som ikke har kommet skikkelig i gang med arbeidet. Og situasjonen varierer fra bransje til bransje. Vi ser at helse og sosial mener de er best forberedt, mens hele åtte av ti spurte innenfor bygg- og anleggsbransjen mener de er bare lite eller noe forberedt, sier Aardal.

Konkurransefordel ved å få på plass nye regler

Ved å få de nye personvernreglene på plass før fristen, unngår du ikke bare sanksjonene, men kan faktisk få en klar konkurransefordel.

Les også: Derfor kan nye personvernregler bli et konkurransefortrinn

– Det er en kjensgjerning at det blir krav om at disse reglene følges av underleverandører. Derfor kan det være en klar fordel å implementere reglene tidligst mulig. Både kunder og leverandører vil sannsynligvis skygge unna de som ikke har GDPR på plass. Det innebærer en klar risiko å samarbeide med virksomheter som ikke har orden på dette, sier Aardal.

Kontakt oss gjerne dersom du har spørsmål til dette

DEL DETTE INNLEGGET: