Dette er min femte kronikk som styreleder i Den Norske Dataforening (DND) publisert i Computerworld som del av et fast skribentpanel. Den ble publisert i uke 13-2017, og er gjengitt nedenfor.


EU vedtok i fjor ny personvernforordning som skal erstatte dagens personlovgivning. De fleste virksomheter vet lite eller ingenting om dette, et mindretall har startet arbeidet, og noen håper nok det går over.

EUs nye forordning for personvern blir norsk lov i mai neste år. Den erstatter personopplysningsloven og tilhørende forskrifter i Norge, og er den største endringen av personvernlovgivning i Europa på over 20 år. Alle norske virksomheter får nye plikter mens borgerne får nye rettigheter. Dermed er lista lagt for EUs nye General Data Protection Regulation (GDPR).

Hvorfor GDPR er viktig

Arbeidet med forordningen startet i 2012, og den viderefører mye fra det gjeldende direktivet fra 1995. Det er imidlertid uthulet av internett og ny teknologi som på få år har gjennomsyret samfunnet og endret måten vi lever og kommuniserer på. Vi sprer om oss med data dagen lang til stor glede for alle som samler opp store mengder informasjon om oss.

Persondata er blitt vår tids gull, og den nye forordningen er derfor viktig og tidsriktig. Hensikten er å styrke borgernes rettigheter og tilliten til digitale tjenester. Forordningen skal gi et felles regelverk i Europa, lette utvekslingen av personopplysninger over landegrenser, og sikre samarbeidet mellom personvernmyndigheter.

Får de det til, er mye gjort. Men det er ikke nok. På den andre siden står alle organisasjonene som skal implementere dette. Og der står de godt plantet. I ro.

Få kjenner den nye forordningen

CW-kronikk Uke 13-2017

Kronikk i Computerworld

Dagens regelverk stiller krav til at organisasjoner skal ha rutiner for å etterleve personopplysningsloven. Når loven endres neste år, må rutinene justeres tilsvarende. Dette blir et krevende skifte for mange. Men er de klar over det selv?

En internasjonal studie utført av Dimensional Research i fjor høst blant ledere med ansvar for datasikkerhet og personvern ga følgende hovedfunn:

  • Mer enn 80 prosent av respondentene visste lite eller ingenting om GDPR
  • Hele 97 prosent av bedriftene hadde ingen plan for innføring av dette
  • Kun 9 prosent var sikre på at bedriften blir klar før fristens utløp neste år

Dette viser en klar mangel på forståelse og forberedelse til det som kommer.

Nytt landskap for personvern

Det finnes mye informasjon om GDPR på nettet, men for mange er det vanskelig å dra ut essensen. I Norge er Datatilsynet en viktig informasjonskilde, og her er et lite utdrag av hva de mener dette vil bety.

Alle norske virksomheter får nye plikter, og de skal ha en forståelig personvernerklæring tilpasset lesernes nivå (også barn). Alle må bygge personvern inn i nye løsninger, såkalt innebygd personvern. Det blir nye krav til avvikshåndtering, reglene for sikkerhetsbrudd blir strengere, og bøtenivået ved alvorlige avvik øker dramatisk. Borgerne får nye rettigheter der retten til å bli glemt, dataportabilitet og nei til profilering styrkes. Alle offentlige og mange private virksomheter må i tillegg opprettet personvernombud som skal rapportere direkte til ledelsen. For å nevne noe.

Det er mye som skal på plass det neste året, og det nye landskapet for personvern blir mer krevende å manøvrere i.

Hva skjer videre?

Det er ikke et spørsmål om hva som skjer i EU da det er en prosess som går ufortrødent videre. Det står mer på alle de som må implementere dette. Det blir mye personvern å holde styr på, og den som utsetter vil få det svært travelt neste vår.

La meg avrunde med fire råd for innføring av GDPR inspirert av Datatilsynet:

  1. Avklar personopplysninger som behandles i dag – som en start
  2. Sørg for å oppfylle dagens lovkrav – da blir overgangen lettere
  3. Sett dere inn i det nye regelverket – det kommer fortere enn svint
  4. Lag rutiner for de nye reglene – bedre føre vàr enn etter snar

Enkelt og greit. Teoretisk sett. Etter innføringen er det et løpende arbeid å kontrollere, følge opp og forbedre det hele. Arbeidet inngår i virksomhetens styringssystem for informasjonssikkerhet som er ledelsens ansvar.

DND er allerede i gang med aktiviteter på dette området i form av nettverksmøter, foredrag og webinarer. Og mer vil komme det neste året. DND er derfor et godt nettverk for kunnskap, erfaring og synspunkter på dette viktige området.

Klokken tikker videre.

(Illustrasjon: Computerworld)


Publisert:
– Computerworld (CW)
– Dataforeningen (DND)
– Referert i andre medier

Tidligere CW-kronikker:
– Cybersikkerhet på styrerommet (Uke 35-2016)
– IT i praksis. Og i teorien. (Uke 42-2016)
– Rosing på høyt nivå i norsk IT-bransje (Uke 48-2016)
– Digitalt grenseforsvar – på en fredag morgen hos DND (Uke 6-2017)