Illustrasjonsfoto. 

Foto

NTB-scanpix.

Vet du for mye om kundene dine?

Ti tips for å unngå kjempebot

Publisert: 16. juni 2017 kl 10.00
Oppdatert: 14. desember 2017 kl 08.39

Det er under et år til EUs forordning for personvern blir norsk lov. Den 26. mai 2018 vil forbrukere og kunder få helt nye rettigheter, og det stilles strengere krav til hvordan bedrifter skal behandle personopplysninger.

– Ledere må ta innover seg at dette også handler om forretningen deres. De må spørre seg om hva bruk av kundedata betyr for dem, og hva de må gjøre fremover etter at loven trer i kraft, sier Kenneth Westad, ansvarlig for IT Security Services i Styrmand.

Han anbefaler ledere snarest å skaffe seg kontroll på det selskapet innehar av data. Deretter må du kartlegge hva du bruker disse dataene til.

– Du må gjennomføre en datakartlegging. Det innebærer en sjekk av om du har tatt deg eventuelle friheter i bruk og innsamlingen av personopplysninger. Dersom du trenger et nytt samtykke for bruk av disse opplysningene fra kunden, må du gjøre dette snarest, forteller han.

Kan risikere å måtte møte kunden fysisk

Er du for sent ute med datakartleggingen, kan dette medføre en betydelig risiko for bedriften din, forteller Westad. Du må nemlig sørge for at du får samtykke fra kundene før loven trer i kraft. Venter du for lenge, har du ikke lenger tillatelse til å innhente samtykke elektronisk.

– Da må du fysisk ut og møte kundene for å få samtykke, understreker Westad.

Saken fortsetter under annonsen

Dette betyr at bedrifter må gå igjennom dataene de sitter på i løpet av høsten og vinteren, og at dette arbeidet må ha høy prioritet. Det er også viktig at bedriftene ser nøye på sine sletterutiner, ifølge Westad:

– Det er viktig å ha gode sletterutiner. Det kommer til å bli et stort fokus på dette. Du kan ikke sitte på data til evig tid, så en real opprydding er på sine plass, sier han.

«Dersom du trenger et nytt samtykke for bruk av disse opplysningene fra
kunden, må du gjøre dette snarest»

Han påpeker at ledere generelt er for tradisjonelle, og at de ofte ikke ser den forretningsmessige gevinsten og innvirkningen gode rutiner for databehandling har for virksomheten deres.

– Dette handler om butikken din, så du er nødt til å ta det alvorlig, poengterer han.

Den nye loven, General Data Protection Regulation (GDPR), er også klar på at virksomheter pålegges å lage samtykkeerklæringer som folk forstår. Det holder ikke lenger å informere om at «vi vil bruke dine data til å forbedre våre tjenester». Bruken skal konkretiseres ytterligere.

Retten til å få sine data slettet blir dessuten skjerpet. Man kan når som helst trekke tilbake sitt samtykke, og kreve at alle data som er samlet inn blir slettet. Samler du inn store mengder personopplysninger, må du passe på at du utvikler gode rutiner og programvarer som legger til rette for sletting, innsyn og utlevering av alle opplysninger.

Saken fortsetter under annonsen

Norske ledere uvitende i februar

I en analyse Atea gjennomførte blant 611 norske bedriftsledere så sent som i februar i år, kom det frem at fire av fem bedriftsledere ikke hadde satt seg inn i den nye personvernlovgivningen som trer i kraft i Norge i 2018. Undersøkelsen ble gjennomført blant ledere i store og små selskaper i både privat og offentlig sektor.

40 prosent av de spurte lederne i undersøkelsen mente at de hadde gode nok rutiner for å avdekke og håndtere lekkasjer av persondata fra bedriften. 20 prosent mente at de burde ha hatt bedre rutiner og 20 prosent oppga at de ikke visste om rutinene var gode nok.

60 prosent svarte at de ikke visste om de kunne legge frem dokumentasjon på hvordan deres bedrift håndterer personopplysninger, eller at de visste at de ikke kan dokumentere hvordan de håndterer slike opplysninger.

Dette må ledere ha på plass før loven trer i kraft:
søn 20.02.2022 23:47

Ha oversikt over personopplysningene dere behandler:

  • Det kreves at alle virksomheter som samler inn eller bruker personopplysninger skal ha oversikt over disse, hvor de kommer fra og hva som er det rettslige grunnlaget for behandlingen.
  • Sørg for å ha denne oversikten – det er et krav som også gjelder etter dagens lov.

Sørg for å oppfylle dagens lovkrav:

  • Overgangen til de nye reglene blir mykere, dersom dere etterlever kravene i personopplysningsloven som gjelder i Norge i dag.
  • Har dere gode rutiner for internkontroll som fungerer etter hensikten, og er kjent i organisasjonen, er det lettere å få oversikt over hva dere må endre.

Sett dere inn i nytt regelverk:

  • Gå igjennom forordningsteksten på Datatilsynets nettsider.
  • Der kommer det også fortløpende oppdateringer fra Datatilsynet om de nye reglene, etter hvert som de blir utarbeidet.

Utarbeide rutiner:

  • Oppdater dagens rutiner for behandling av personopplysninger etter nytt regelverk der det er behov for det.
  • Dokumenter de nye rutinene, og legg en plan for nødvendige endringer.
  • Er systemet deres laget for å ivareta kravet til innebygd personvern, dataportabilitet og personvern som standardinnstilling?
  • Endringer i systemer og rutiner tar tid – begynn allerede nå.

Kilde: Datatilsynet.no/forordning