EUs nye personvernforordning GDPR (General Data Protection Regulation) trer snart i kraft. Og det er ikke et sekund for sent for å la den gamle personvernloven vike for den nye.
Mens den gamle loven ble etablert i en tid før internett hadde blitt en del av vår hverdag, er den nye forordningen tilpasset en digital tidsalder, hvor det å ivareta din og min digitale identitet og personopplysninger er av kritisk karakter.
Like viktig selv om den blir litt forsinket
Etter flere års intens jobbing, og omtrent to år etter at GDPR ble offisielt ratifisert, er GDPR snart en realitet for alle innenfor EU. Diskusjonene om GDPR har i løpet av det siste halve året gått fra bevissthet til beredskap. Og selv om fristen for å forholde seg til den nye forordningen er endret fra 25. mai til 1. juli her til lands, er det ingen grunn til å utsette egen innsats.
GDPR er kommet for å bli. Og eventuelle brudd på den nye personvernforordningen vil kunne koste selskaper dyrt. Bøtenivået for lovbrudd er på opptil 4 prosent av global omsetning eller maksimalt 20 millioner euro, avhengig av hva som svir mest.
Vil alle som ikke tilpasser seg bli straffet?
Spørsmålet mange stiller seg nå, like før den nye personvernforordningen er en realitet, er hvor raskt myndighetene vil ilegge virksomheter store bøter. Et annet viktig spørsmål vi bør stille oss, er om den nye forskriften vil være til hjelp eller hinder for innovasjon.
For det som er helt sikkert, er at alle virksomheter som har kunder innenfor EU, ikke kan velge hvorvidt de vil forholde seg til forskriften eller ikke. Da må de i så tilfelle velge å trekke seg ut av EU. Så hva kan vi forvente oss vil skje, etter at GDPR er iverksatt?
Her er fem ting jeg tror du kan forvente deg:
Ingen store bøter til å begynne med
Selv om myndighetene får anledning til å bøtelegge selskaper som ikke tilpasser seg de nye forskriftene, er det usannsynlig at vi vil høre om større bøter med det første. Myndighetene i Storbritannia har offisielt uttalt at det er lite sannsynlig at de vil gjøre et tidlig eksempel ved å gå for maksimale bøter til å begynne med. Fremfor å true med pisk (bøter) vil de fleste myndigheter innledningsvis heller fokusere på økt kjennskap og kunnskap.
Når det er sagt, bør ingen tro at de på et tidspunkt vil unngå bøter hvis de ikke oppfyller de nye kravene. I tillegg er det viktig å huske på at de økonomiske konsekvensene av et sviktende omdømme som følge av lovbrudd kan fort bli større enn bøtene som sådan.
GDPR-relatert utpressing
Om ikke myndighetene vil true med økonomiske sanksjoner, kan det fort bli en realitet at kyberkriminelle benytter anledning til å tjene «noen kroner» ved å presse virksomheter som ikke har tilpasset seg GDPR, for penger. Vi har de siste årene sett en kraftig vekst i løsepengevirus, hvor kriminelle har tvunget virksomheter til å betale store summer for å få tilbake tilgangen til sine data. Det er stor sannsynlighet for at kriminelle kan utnytte GDPR-situasjonen til å presse virksomheter for å betale løsepenger for at ikke data, som burde vært beskyttet i henhold til de nye forskriftene, kommer på avveie. Og i verste fall blir solgt videre.
Kompleks verdikjede
GDPR vil tvinge frem endringer for hvordan virksomheter forholder seg til sine leverandører og partnere. Virksomheter som benytter seg av tredjepartsleverandører er like ansvarlige for hvordan dataene blir ivaretatt, som leverandøren man har benyttet seg av. Kombinasjonen av egne og tredjepartsleverandører kan fort vise seg å være en særs kompleks materie å få full oversikt over.
For å påse at man holder seg innenfor personvernforordningens rammer, er det avgjørende at samtlige aktørers prosesser og sikkerhetskontroller er tilstrekkelig på plass.
Ikke den fulle og hele sannheten
Til tross for trusler om økonomiske sanksjoner og skade på omdømmet, er det god grunn til å tro at enkelte virksomheter som ikke har tilpasset seg personvernforordningen innen fristen, kan bli fristet til å tie om det.
Internt kan diskusjonen fort gå i retning av at personvernforordningen handler om «dem» og ikke «oss». Er uhellet ute, og rutinene ikke på plass, vil man kanskje ikke evne å varsle innen de 72 timene som er kravet i de nye forskriftene. På den måten kan mindre hendelser fort vokse i omfang gitt at virksomhetene ikke kan forklare hva som har skjedd, fordi man ikke har forberedt seg på det. Økende synlighet i virksomhetens datastrømmer og sikkerhetsprosesser er avgjørende. «Hvite løgner» kan fort koste et selskap dyrt. Både omdømmemessig og økonomisk.
En tilpasningsperiode
Det er viktig å huske på at GDPR ikke er det samme som Y2K-problematikken. At man hadde frem til første januar 2000 å fikse på alt av programmer som kunne krasje i det man gikk over fra 99 til 00 under overgangen til det nye millenniet. Tilpasning til den nye personvernforordningen er en kontinuerlig prosess som bør evalueres og utvikles over tid. Det er gode nyheter, samtidig som det ikke er en unnskyldning til å ikke være på plass til tidsfristen.
Til syvende og sist handler den nye personvernforordningen om å ivareta folks rett til å verne om sine egne personopplysninger. Det bør vi alle være takknemlige for. For virksomheter handler det om å akseptere endringen. Lære seg hvordan man skal forholde seg til de nye forskriftene og hvordan man skal innovere, vokse og konkurrere i et nytt (regulert) landskap.