EU-forordning-i-2018
EUs personvernforordning del 2: Hva din bedrift bør tenke på - Bouvet Norge blogmask-mobile

EUs personvernforordning del 2: Hva din bedrift bør tenke på

Trude Hole 
16. feb. 2016

Fra 2018 må bedriftene håndtere kundedata helt anderledes. Rekker dere å oppdatere alle systemene? Her får du en oppskrift på hvordan dere kan komme i gang med EUs personvernforordning.

Denne artikkelen er ført i pennen av Maren Sofie Sivertsen fra Kobra, og ble først publisert på nettstedet deres

Simen Sommerfeldt, CTO i Bouvet Øst
Simen Sommerfeldt, CTO i Bouvet Øst

Simen Sommerfeldt, CTO i Bouvet Øst, har vært engasjert sammen med oss i KOBRA på oppdrag gjennom 2015. Han er blant dem som har satt seg aller grundigst inn i EU personvernforordning, og hvilke konsekvenser den vil få for næringslivet. Simen har fulgt prosessen tett og diskutert med ledende jurister på dette fagfeltet. Dette er den andre artikkelen i en serie av tre hvor vi dykker ned i hva disse endringene betyr.

Del 1: Bakgrunnen for endringene

Del 2: Hva din bedrift bør tenke på

Del 3: En runde i krystallkula med EU-forordningen: Ni spådommer om markedet – og samfunnet

14. april 2016 stemte EU-parliamentet gjennom en ny forordning for bruk og håndtering av Personvern i EU: "General Data Protection Regulation" (GDPR).  Om du vil vite mer om hvorfor dette har kommet på agendaen, anbefaler vi deg å lese Del 1: Store konsekvenser for de fleste bedrifter.

Den første bloggartikkelen skapte så mye oppstyr at vi har fått bistand av advokat Eva Jarbekk hos Føyen Torkildsen til å kjøre en ekstra faktasjekk. Eva var den som fortalte Simen om forordningen i utgangspunktet, og har holdt oss løpende orientert om hva som skjer

Nye spilleregler for reklame på nettet

– Resultatet av disse endringene er en helt annen måte å håndtere kunder og data på. Først om halvannet år vet vi helt konkret hva dette betyr i praksis: Reglene vil bli gjenstand for tolkning, og vil kanskje bli litt justert etter tilbakemeldinger.

Illustrasjon av EU forordning i 2018
Tore Tennøe i Teknologirådet peker på noe vesentlig

Med disse forbeholdene kan vi uansett slå fast at annonsørmarkedet vil måtte endre arbeidsmåte. Vi går nå fra personalisert annonsering av typen ”Se! Her er de støvlene du så på Zalando for tre uker siden”, og returnere til tilfeldig, upersonalisert reklame uten mulighet for å spore, samle og selge data om kunden. Personalisert reklame vil måtte ha et mye klarere avtalegrunnlag med brukerne enn i dag.

Dette kan bety at internettmarkedsføring slik vi kjenner det er i ferd med å trekke sitt siste åndedrag. Når den nye EU-forordningen trer i kraft, vil de ha et betydelig svekket arsenal for å nå ut til massemarkedene – annonseringsbyråene vil få et forklaringsproblem når effekten og verdien av annonseringen sin reduseres.

Mange bedrifter arbeider derfor nå med å klargjøre brukeravtalene med kundene slik at etablert praksis kan fortsette. At akkurat denne bransjen møter utfordringer vil kanskje ikke den jevne forbruker fortvile over, men som kjøper av denne type tjenester er det grunn til å rette fokus andre steder for å gjøre seg fortjent til oppmerksomhet hos sluttkunden.

Det vi vet helt sikkert er at ”alle” kommer til å bruke tid og krefter på å finne nye måter å nå ut til kundene på, og erfaringsmessig er det de som er mest kreative når det kommer til innovasjon, digital transformasjon og kundeinnsikt som ligger best an. Undersøkelser viser dessuten at satsning på kundetilfredshet og kundeopplevelse skaper gode, langvarige kundeforhold.

Du vil ikke ha råd til å ikke følge reglene

Den nye forordningen skal etter planen stemmes gjennom i første halvår 2016. Så vil den trå i kraft etter to år. Tidligere har det vært et direktiv, men nå endres dette til en forordning – det skal inn i lovverket til de enkelte land. Det er ikke noe valg der, forklarer Simen. 

luktesalt
Det har vært tildels sterke reaksjoner

Det har vært tildels sterke reaksjoner[/caption] – Slik det ser ut nå vil det ikke være mulig å tenke at dette treffer ikke meg. Dette vil gjelde de fleste bedrifter i Norge, og ikke nok med det. Dette vil gjelde alle som har kunder i EU. Så til og med Google, Ebay og Microsoft må følge dette. Firmaer utenfor EU som har kunder innenfor, må ha en juridisk representant i EU som myndighetene kan kontakte, sier Simen.

– Mye av grunnen til at det har blitt så mye snakk om denne forordningen. er konsekvensene av å ikke etterfølge den. En bot kan være ødeleggende: Bedrifter vil bli ilagt bøter på opp til 4% av global brutto omsetning per tilfelle. Tidligere var den største boten en kunne få i Norge 10G (ca. 890.000 kroner p.t.).  Nå er maksboten 20 millioner euro, per tilfelle. Så hvis du har et case i mars og et i juli vil du kunne få to bøter, forklarer Simen.

Større krav til sikkerhet, revurdering av Cloud og krav om sertifisering

Større krav til generell IT-sikkerhet: ”Du må melde inn ”breaches”, altså avvik til Datatilsynet innen 72 timer etter det er oppdaget. Det er en veldig kort frist. I alvorlige tilfeller må bedriften også melde om avviket til de personene som det er frastjålet data om. Så de fleste må jazze opp sikkerheten sin ganske mye ”, forklarer Simen

Klassifisering av data gir nye forretningsmuligheter for skyløsninger. Det blir satt strenge krav til at data som kan regnes som sensitive blir behandlet varsomt. På grunn av endringene som omhandler USA sitt innsyn i data (Safe Harbor og Privacy Shield, se intervju med Jarbekk og Sommerfeldt i Computerworld) vil det kunne komme en ny vår for lokale driftsleverandører. Det vil bli mye vanskeligere å kunne oppbevare din data i en skyløsning der selv teknikere fra USA kan ha tilgang.

Offentlige innkjøpsregler vil ha med krav om sertifisering ”Sertifisering betyr at en må bygge kompetanse, gjøre om på rutiner og skaffe mye ny kunnskap. EU forordningen er på ca 200 sider. Jeg har lest den. Den treffer forskjellige bransjer og bedrifter på ulik måte, så det krever litt innsats å forstå hvordan din bedrift må agere. En sertifisering viser du har dokumentert etterfølgelse av alle de relevante påleggene, du har at rutiner i orden, at varsling stemmer, policy ovenfor kunder, etc."

Alle må ikke sertifiseres, forklarer Simen. Men alle må følge reglene, og det å ha en sertifisering vil kunne minske bøtenivået - fordi firmaet ditt viser at dere har gjort en innsats for å følge reglene

Kundens tidsalder - også når det gjelder personvern

Dine kunder får økte rettigheter. De skal kunne kreve innsyn i all informasjon du har om dem. De skal kunne kreve sletting eller flytting av informasjonen. Og hvis du flytter eller deler deres opplysninger med en tredjepart må du be om lov, og informere dem. De skal også kunne nekte automatisk saksbehandling dersom de er uenig i faktagrunnlageet for en beslutning. Videre får kundene ganske sterke klagemuligheter.

En jente står på hendene med teksten: Kunden har aldri vært så mektig

Du bør ikke vente - og slik kan du komme i gang

For noen kan dette innebære store omveltninger i forretningsmodellen. For andre vil det innebære omskriving av systemer og avtaler. Det er foreløpig usikkert hvordan dette kommer til å påvirke de forskjellige bransjene, men det betyr ikke at du bør vente. Bouvet bistår i dag flere kunder med forberedelser, og jeg fikk Simen til å sette opp en liste over typiske gjøremål:

  • Få noen som kjenner forretningen både merkantilt og teknisk til å sette seg inn i forordningen
  • Gjør dere også kjent med hvilke nåværende lover og regler dere er underlagt. Der hvor forordningen kommer i konflikt med f.eks. regnskaps- eller arkivloven vil sistnevnte som regel ha for-rang
  • Gjør en vurdering av hvordan forordningen vil påvirke dere. Det kan lønne seg å tenke i to dimensjoner her: Forretning/kommunikasjon, og teknisk
  • Identifisér hvilke endringer dere må gjøre i systemer for å tilfredsstille forbrukerens nye krav (innsyn, avledet bruk, tilsagn, sletting, flytting)
  • Påbegynn en dokumentasjon av hvordan dere vil etterleve forordningen. Dere kan bli avkrevd en slik fra datatilsynet
  • Der hvor mulig, finn en en bransjetolkning (I følge EU vil slike komme etterhvert). Søk opp et bransjeforum der dere drøfter mulige tolkninger sammen
  • Klassifisér dataene deres og se om dere kan spore endringer på dem
  • Finn ut hvor data er lagret og hvem som har ansvar. Gå gjennom alle Cloud-avtaler og se om de holder vann mht. sensitive data
  • Se hvilke sikkerhetstiltak dere har. Iverksett tiltak som kildekodegjennomgang og penetrasjonstester om nødvendig. Sørg for at dere har grunnleggende sikkerhet (infrastruktur, patching, brannmurer, tiltak mot social engineering) på plass, gjerne med et ISO 27.000-lignende system
  • Et godt tips er å få på plass IAM (Identity/Access Management) og logging på tvers av systemer dersom dere ikke har det allerede. Det vil være nødvendig for å oppdage såkalte “Kill chains” ved sikkerhetsinnbrudd
  • Kjør Risiko- og Sårbarhetsnalyser på systemer som håndterer sensitive data (Dette blir et krav under forordningen)
  • Få skikk på leverandørene - se om de følger regelverket. De er en forlengelse av firmaet ditt i denne sammenhengen
  • Sjekk nåværende prosjekter og juster dem i tråd med forordningen. Ikke start på noe i dag som vil være ulovlig om to år!

Det er ingen grunn til å få helt panikk, men gjør deg kjent med regelverket og finn ut hvordan det vil påvirke deg. På enkelte områder vil vi måtte tenke nytt, men det stiller bare krav til at vi må være innovative og nytenkende. Og til syvende og sist bikker forordningen maktbalansen over til oss forbrukere i stedet for de som selger informasjon om oss. Og det må jo være en God Ting for oss alle sammen!

keep-calm-it-will-happen