Datatilsynet bekymret over manglende personvern-kunnskap
I en undersøkelse fra InFact, som er gjennomført for selskapet TargetEveryOne, kommer det frem at 87,9 prosent av nordmenn ikke kjenner de store regelendringene i personvern som kommer fra EU, og skal implenteres innen 25. mai.
– Hva er årsaken til at dette tilsynelatende ikke tas på fullt alvor?
– Undersøkelsen fra InFact er foruroligende. Det nye personvernregelverket gjelder alle, og man kan spørre seg om virksomhetsledere har vært sitt ansvar bevisst.
Hun mener at det å gjøre seg kjent med reglene og lage gode, nye rutiner som gjelder hele virksomheten – men også HR spesielt – er et lederansvar.
– Det bør forankres av ledelsen i hver eneste virksomhet i Norge, de skal sørge for at alle ansatte får opplæring i, og følger, nye rutiner. Frem til nå har manglende kunnskap om at det finnes et regelverk nok kanskje vært et problem, men med alt fokuset på nytt personopplysningsregelverk den siste tiden så burde i hvert fall ledelsene i virksomhetene ha hørt om det. Da er nok heller problemet at det oppleves som vanskelig å sette seg inn i, men dette er et regelverk som man er nødt til å følge, sier Dahl.
Store bøter
Konsekvensene av ikke å sette seg inn i personvernreglene, eller ikke å implementere de nødvendige tiltakene, kan bli mer dyrekjøpte enn folk tror. Hvis ikke nødvendige tiltak er implementert, kan det få konsekvenser i form av gebyr og bøter.
– Datatilsynet er klar over at det er mye å sette seg inn i, og vil nok ta hensyn til dette når vi ser at virksomhetene virkelig prøver – selv om resultatet ikke er perfekt. Vi vil nok være desto mindre ettergivende for de som ikke en gang har prøvd å følge regelverket. Det er viktig å understreke at godt personvern og god sikkerhet handler om tillit mellom virksomheter og deres kunder. Bøtene vi kan gi er store, men dersom de rammes av en hendelse kan de økonomiske og omdømmemessige konsekvensene være langt større, sier hun, og viser til flyselskapet Maersk, som tapte rundt 300 millioner dollar som følge av et løsepengevirus på grunn av dårlig IKT–sikkerhet.
– Bør det utvikles bransjenormer, i tilfelle i samarbeid med dere?
– Vi oppfordrer alle til å utvikle bransjenormer, et regelsett for spesifikke bransjer. En bransjenorm vil kunne gi retningslinjer for hvordan virksomheter skal innrette seg for å etterleve kravene i personvernforordningen. Den skal utvikles av bransjen selv, og godkjennes av Datatilsynet. På våre nettsider ligger det en veiledning nettopp for dette. Fordelen med bransjenormer er at de kan brukes til å vise at man arbeider i samsvar med kravene i det nye regelverket, og at virksomhetene kan samarbeide om felles utfordringer, slik at ikke alle trenger å finne opp hjulet hver for seg, utdyper hun.