Den nye personvernforordningen har ført til skikkelig vårrengjøring hos mange virksomheter. De har gjort et krafttak for å kartlegge data, ryddet i kundedatabaser, og lagt om arbeidsprosesser og interne rutiner med fokus på personvern. Innsikten i hvilke systemer som brukes og hva de faktisk gjør er blitt mye bedre. Men nå er det viktig å ikke falle tilbake i gamle vaner. Regelverket krever nemlig at man holder løpende orden og oversikt.

GDPRs artikkel 5.2 beskriver ansvaret: Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at regelverket overholdes.

Det utvikles hele tiden databehandlingsteknologi som gir innsikt og nye forretningsmuligheter. Samtidig er å knytte denne teknologien opp mot nye datakilder og raffinere dataanalysene en utfordring for personvernet. Hver gang en virksomhet gjør endringer i arbeidsprosesser eller introduserer nye tjenester må det vurderes hvilken effekt og risiko dette har for de berørtes personvern – enten det er kunder, leverandører, medlemmer eller ansatte.

Ikke vent og se. Hvordan en virksomhet beskytter persondataen de sitter på kan være avgjørende for omdømmet.

Er databehandlingen lovlig? Er de berørte tilstrekkelig informert? Dette må tydelig demonstreres.

Ved behandling av noen typer personopplysninger – som helseopplysninger – må det innhentes eksplisitt samtykke. For eksempel informasjon om allergier som lagres eller deles med et cateringfirma. Eller en situasjon der en ansatt blir alvorlig syk og må sykemeldes. At det blir informert i bedriften om at personen er sykemeldt er selvsagt greit, men ofte blir også årsaken kjent blant kolleger uten at dette egentlig er nødvendig eller den berørte faktisk har gitt eksplisitt samtykke til det.

Så hvordan viser du at du overholder reglene? Datatilsynet har så liten kapasitet at risikoen for å bli tatt i regelbrudd er liten. Derfor har mange inntatt en vent-og-se holdning. Jeg har lite sympati for de som ser om de kan slippe unna med slepphendt behandling av mine persondata, fremfor å ivareta dataene mine på en ansvarlig måte. Jeg får mye større tillit til dem som demonstrerer at de legger seg i selen for å ivareta mine interesser.

Mange virksomheter prøver å peke på systemleverandørene sine for at GDPR skal overholdes. Men fagsystemer som CRM, ERP, HRM kan ikke ivareta og dokumentere virksomhetens overordnede styresett, definere policies og sikre etterlevelse av dette. Det er virksomheten selv, ikke IT-leverandøren, som beslutter formålet med dataen.

Ansvaret for GDPR ligger heller ikke hos markeds-, IT- eller HR-avdelingen. Ansvaret ligger hos ledelsen og i styrerommet.

Aksjonærene har mye å tape om manglende overholdelse blir avdekket. Selv om det har vært skrevet mye om maksimalbøtene som kan bli ilagt, er verditapet for investorene mye større ved tap av omdømme og tillit. Med styremedlemmenes personlige ansvar er det vanskelig å forestille seg at personvern ikke vil bli en del av den løpende forvaltning og internkontrollregimet.

Revisjonsfirmaene helt klart ha dette i fokus. Revisors gjennomgang av en virksomhet vil også dekke personvern, i og med at revisjonstandarden blant annet omfatter risiko for substansielle bøter. Gjennomlysninger av personvernrutinene i en virksomhet vil fort medføre ekstra revisjonshonorar.

Det er altså flere mekanismer for å sikre overholdelse av regelverket. Og heldigvis er det ikke stedlige tilsyn fra Datatilsynet som vil være pådriveren. Da er det bra det finnes teknologiselskaper som kan bidra med systemstøtte.

Christian Butenschøn er grunnlegger av ICONFIRM. Han er hverken IT utvikler eller jurist, men har praktisk sans og sunt bondevett. Fra 2013 ledet han oppbyggingen av Nordens ledende samhandlingsplattform innen privat helse som idag har ca 25 forsikringsselskap og 900 klinikker som brukere. Med utgangspunkt i denne teknologien ble ICONFIRM satt opp i slutten av 2016. Plattformen er en praktisk og brukervennlig løsning som setter individet i sentrum i en organisasjons etterlevelse av GDPR.