I sitt første foredrag som ny direktør for Datatilsynet, uttalte Line Coll at «vi har så mye regler i så mange lag, at det er nesten umulig for en person, et team eller en enhet i virksomheter å holde seg oppdatert». Videre påpekte hun at denne kompleksiteten «innebærer en risiko, både for etterlevelsesdelen og for informasjonssikkerheten», og viste til en stadig mer utbredt følelse av utmattelse hos norske bedrifter. Vi i Bryn Aarflot kan dessverre bekrefte at det er mange som sliter med å holde følge med regelverket på dette området.
Gi oss i dag vår daglige fortvilelse
Når en fortvilet bedriftsleder ringer oss etter å ha forsøkt å lese seg opp på uforståelige EU-regler, retningslinjer eller avgjørelser, prøver vi gjerne å berolige på et språk hun forstår. Det hender vi innleder med å fortelle at reglene i stor grad handler om å respektere den enkeltes privatliv og integritet, og at det er viktig å balansere dette opp mot bedriftens legitime behov.
Dersom man sørger for at bedriften har kontroll på alle sine personopplysninger og hva man skal bruke dem til, samt dokumenterer dette, ja da har man allerede kommet ganske langt på vei. Ofte kan det til og med være nyttig å bruke sunn fornuft, altså et enkelt budskap som dessverre lett kan drukne i en jungel av vanskelige regler.
Det hender vi også inviterer bedriftslederen til å se problemstillingen fra et helt annet perspektiv enn det hun kanskje er vant med: Hvordan ville du som privatperson likt at en tilfeldig bedrift sendte deg reklame på e-post eller SMS uten å ha spurt deg på forhånd? Eller hvordan ville du som ansatt reagert om sjefen din med jevne mellomrom dobbeltsjekket innboksen din for å forsikre seg om at responstiden din var god nok? «Aha, men da skjønner jeg!» kan en lettet bedriftsleder da uttale før telefonsamtalen avsluttes, og hun kan gå tilbake til det hun egentlig skal bruke tiden på, nemlig verdiskaping.
Problemet er at vi nesten aldri opplever slike telefonsamtaler, med unntak av fortvilelsen i starten. Svært få – om noen – av dem har gitt oss trygghet på at bedriften har full kontroll på personvernregelverket. Dette er egentlig en ganske så absurd situasjon å være vitne til, og illustrerer et regelverk som ikke er tilpasset landskapet det skal fungere i, og som stadig vokser både i omfang og kompleksitet. Datatilsynets egen illustrasjon av regelverket viser med all tydelighet hvor utydelig og sammensatt det juridiske landskapet egentlig er blitt.
Regelverket må også sees fra bedriftenes perspektiv
Ett av hovedproblemene for norske bedrifter er at dette komplekse regelverket i stor grad skyver vurderingene over på bedriftene selv, og at vurderingene forutsetter en risikobasert tilnærming til hvordan regelverket skal overholdes. Dette kan være vel og bra for større bedrifter som er vant til slikt arbeid, og som har kapasitet og kompetanse til å gjøre dette til en naturlig del av virksomhetsstyringen.
For de mindre bedriftene er imidlertid skjønnsmessige vurderinger av personvernrisiko og interesseavveininger noe helt annet enn for eksempel forbrukerkjøpslovens bestemmelser om mangler. Vår erfaring er at høy bevissthet, få ressurser og et svært komplekst regelverk har gitt norsk næringsliv høye skuldre og frykt for å gjøre feil på personvernområdet.
I en slik situasjon bør bedriftene etter vårt syn gis en mer risikobasert rådgivning innen personvern, hvor lederne må læres opp til å ta beslutninger og innføre rutiner som er gode nok. Når Datatilsynets nye direktør, som selv har lang erfaring fra næringslivet, uttaler at tilsynet bør bli tøffere og bedre på å hjelpe bedrifter til å forstå regelverket, vitner dette om et tilsyn som endelig tør å se regelverket også fra bedriftenes perspektiv.