Tre av fire ennå ikke klare for GDPR

General Data Protection Regulation, også kalt GDPR, er EUs nye personvernforordning. Den stiller strenge krav til oppbevaring av data og personopplysninger. Dagens praksis i norske småbedrifter har foregått for langt på siden av EUs krav, og en lederundersøkelse gjennomført av kompetansehuset BDO viser nå at tre av fire småbedrifter ikke er forberedt på å ta i bruk forordningen.

Kan koste dyrt for for småbedrifter

Ikke å følge de nye GDPR-reglene innebærer en kraftig økning i virksomhetens risikobilde, advarer BDOs personvernekspert, Henrik Dagestad. Nå har mange imidlertid fått en ekstra mulighet til å forberede seg, og den bør de benytte godt.

– Millionbøter og erstatningsansvar, både for feil i egen virksomhet og hos underleverandører, kan i verste fall få store økonomiske konsekvenser for virksomhetene, presiserer han.

Utsatt frist

Det er i BDOs årlige Risikoundersøkelse norske ledere i private og offentlige virksomheter blir spurt om hvor forberedt de er på den nye personvernforordningen. Ifølge BDOs ekspert har planen hele tiden vært at forordningen skulle innføres 25. mai. Denne fristen er utsatt, og vil ifølge Justis- og beredskapsdepartementet skje tidligst i juli i år, men mye tyder på at det først blir i august.

Foto

BDOs personvernekspert, Henrik Dagestad. Foto: BDO.

At forordningen ikke er innlemmet i EØS-avtalen og trådt i kraft innen 25. mai 2018, skal ikke påvirke flyten av personopplysninger mellom EU og Norge. Justis- og beredskapsdepartementet har uttalt at inntil forordningen formelt er innlemmet i EØS-avtalen og den nye norske personopplysningsloven har trådt i kraft, vil det etter deres syn være det gamle 95-direktivet som regulerer overføringen av personopplysninger mellom EU og Norge.

– Det hadde selvfølgelig vært fordelaktig at også den norske loven ble satt i kraft den 25. mai, slik at noen ikke må forholde seg til to regelsett en periode. Likevel tror jeg ikke at dette vil få noen store konsekvenser for norske virksomheter, sier Dagestad.

De store langt bedre forberedt enn de små 

Ifølge BDOs lederundersøkelse er det en klar tendens til at de store virksomhetene føler seg bedre forberedt enn de mindre. Mens hele 74 prosent, eller nesten tre av fire virksomheter, med under 50 ansatte sier at de er lite eller bare noe forberedt på GDPR, er det tilsvarende tallet blant virksomhetene med over 1000 ansatte 36 prosent.

Overveldende for de små

Det siste året har Dagestad hjulpet en rekke aktører innenfor både det offentlige og det private med å ruste virksomhetene til å håndtere personopplysninger på en strengere og mer dokumenterbar måte enn i dag.

– Det oppleves som overveldende for mange små og mellomstore bedrifter å måtte forholde seg til de samme kravene som store internasjonale konsern. Samtidig er det ingenting som tyder på at mindre bedrifter får ta lettere på personvernbehandlingen.

Ledere må ha en risikobasert tilnærming

– I en liten eller mellomstor bedrift må du som leder ha en risikobasert tilnærming. Du må kartlegge de personopplysningene dere faktisk behandler, og avklare hvor risikoen for avvik er størst, forklarer den erfarne personverneksperten.

Store bransjeforskjeller

Ifølge BDOs undersøkelse er det også klare forskjeller på hvor godt forberedt de forskjellige bransjene er på EUs nye personvernforordning. Mens hele seks av ti virksomheter innenfor bransjen helse- og sosialtjenester oppgir at de er godt eller svært godt forberedt, er det tilsvarende tallet for bygg, anlegg og eiendom bare 18 prosent. Blant andre bransjer som er dårligst forberedt er varehandel (28 prosent) og offentlig administrasjon (33 prosent).