03. april 2018

Under to måneder igjen til GDPR

Henrik Dagestad

Henrik Dagestad

Advokat, BDO Advokater AS
E-post: [email protected]
Telefon: +47 901 77 117

Vil ha nasjonal slettedugnad av ulovlige personopplysninger

Mange norske virksomheter har store mengder med ulovlige og ubrukelige personopplysninger. Det mener BDOs personvernekspert, Henrik Dagestad. Han oppfordrer nå alle til en nasjonal vårrengjøring for å fjerne disse dataene.

– Mange norske virksomheter kan sannsynligvis se tilbake på flere tiår med unnlatelsessynder på dette området. Det er et betydelig stykke arbeid som det haster å komme i gang med for å unngå gebyrer og andre sanksjoner når GDPR blir norsk lov i slutten av mai i år, sier BDO-partneren.

Les også: Slik starter du GDPR-tilpasningen nå

Mye arbeid gjenstår for mange

I en fersk spørreundersøkelse kompetansehuset BDO har utført blant mer enn 800 norske ledere i både offentlige og private virksomheter, fremgår det at mange fremdeles har mye som må gjøres før de er forberedt.

Hele fire av ti spurte i BDOs lederundersøkelse oppgir at de ikke har oversikt over alle personopplysningene som behandles i virksomheten. Nesten like mange sier at de heller ikke har gjort noe risikovurdering knyttet til behandling av slike opplysninger.

GDPR krever sletterutiner

Bakgrunnen for oppfordringen til vårrengjøring i virksomhetens persondata skyldes at GDPR krever at man har en sletterutine for personopplysninger og at denne følges aktivt. Ifølge Dagestad er det få personopplysninger som kan lagres til «evig tid».

– Innføringen av GDPR betyr ikke bare at man må få på plass nødvendige rutiner. Det er også en unik mulighet til å få gjennomført en nasjonal vårrengjøring i de digitale arkivene og databasene. Jeg er overbevist om at de aller fleste virksomheter sitter på store mengder data de verken har lov eller rett til å oppbevare. Dessuten er dette sannsynligvis opplysninger som ikke lenger har noen relevans, sier BDOs personvernekspert.

Dette er ifølge ham en fin mulighet til å få bedre oversikt over alle opplysninger som virksomheten faktisk behandler.

Les også: Derfor kan nye personvernregler bli et konkurransefortrinn

De store langt bedre forberedt enn små og mellomstore

Ifølge BDOs lederundersøkelse er det en klar tendens til at de store virksomhetene føler at de er bedre forberedt enn de mindre. Nesten hver tredje virksomhet med under 50 ansatte sier at de er lite forberedt på GDPR. Blant de største virksomhetene med over 1000 ansatte er det tilsvarende tallet «bare» drøye 5 prosent. Totalt oppgir hver fjerde norske virksomhet at de er lite forberedt på det nye regelverket for behandling av personopplysninger.

– Selv om GDPR vil ha betydning for de aller fleste norske virksomheter, bør du som leder i en liten eller mellomstor bedrift heller ha en risikobasert tilnærming. Du må kartlegge de personopplysningene dere faktisk behandler og avklare hvor risikoen for avvik er størst. Det kan ikke kreves at disse virksomhetene skal ha en like omfattende internkontroll som de store, sier Dagestad.

DEL DETTE INNLEGGET: