Finansfokus

Personvern til besvær

Svein Åge Eriksen

– Mange bedrifter dytter de nye personvernreglene foran seg, men nå begynner det å haste med å sette seg inn i hvilke konsekvenser det nye regelverket får i din bedrift. Dersom du ikke gjør denne jobben før mai 2018, risikerer du bøter på inntil fire prosent av brutto omsetning, sier advokat Bjørn Ofstad i Deloitte Legal.

26. mai 2018 skjer den største endringen av personvernlovgivningen i Europa på 20 år. Da iverksettes EUs nye personvernforordning i alle alle EU/EØS-land, Norge inkludert. Men en fersk undersøkelse utført av Deloitte viser at det fortsatt er et godt stykke igjen før norske bedrifter fullt ut forstår hvordan de skal iverksette og etterleve de nye personvernreglene. I mange bedrifter, også i finansnæringen, har de mer enn nok med å implementere dagens personvernregler som ble innført i 2001.

– Vår undersøkelse viser at bare fem prosent av virksomhetene er svært godt forberedt på de nye reglene som kommer. Tradisjonelt har ikke personvern vært av de områdene som har fått høyest prioritet i virksomhetene, men her må det skje en stor endring i løpet av kort tid. De nye reglene stiller langt strengere krav både til rutiner, risikovurderinger og personvernkonsekvenser, sier advokat Ofstad. Han har 12 års erfaring med å bistå virksomheter med å oppfylle kravene i dagens personvernlovgivning.

54 PERSONVERNOMBUD

En opptelling Finansfokus har gjort, viser at det så langt bare finnes 54 personvernombud i bank, forsikring, finans og inkasso. Et grovt anslag viser at det er om lag 2 200 virksomheter i disse næringene, og de aller fleste av disse vil være omfattet av den nye personvernlovgivningen. Det betyr at det er svært mange personvernombud som må plass før det nye reglene trer i kraft i mai neste år.

– I Europa vil det totalt være behov for 28 000 nye personvernombud i offentlig og privat sektor for å iverksette det nye regelverket. Det er langt fra alle virksomhetene som har tatt inn over seg hva de nye personvernreglene vil innebære, blant annet når det gjelder opplæring av alle de nye personvernombudene.

Advokat Bjørn Ofstad understreker at det er virksomhetens øverste leder som har ansvaret for at det blir etablert gode rutiner og systemer for å ivareta personvernet både til kunder og til egne ansatte. Noen virksomheter har dette på plass, men han får også stadig flere henvendelser fra virksomheter som ber om bistand til å implementere og etterleve det nye regelverket.

PERSONVERN FØRST: – Det nye personvernregelverket endrer personvernlandskapet. Alle bedrifter som håndterer personopplysninger må tenke annerledes. God kontroll på virksomhetens personopplysninger bygger tillit og ivaretar omdømmet, sier advokat Bjørn Ofstad i Deloitte. FOTO: Morten Brakestad

MANGLER RUTINER

Innføringen av det nye betalingstjenestedirektivet PSD2 neste år vil ytterligere forsterke behovet for å iverksette det nye personvernregelverket i finansnæringen. PSD2 vil pålegge bankene å åpne sine betalingsløsninger for nye aktører. Dermed vil bankene, etter at kunden har gitt sitt samtykke, dele kundeinformasjonen med nye aktører. Men vil det være greit å sende disse personopplysningene via epost?

– Når andre typer aktører vil inn og hente ut dine og mine kontoopplysninger via andre teknologiske løsninger, er det særdeles viktig at virksomheten har gjort et grundig arbeid med å sette seg inn i hvordan personopplysninger skal håndteres. Det må lages dokumentasjon for alle rutiner inkludert lagring og sletting av personopplysninger, påpeker Ofstad.

Undersøkelsen fra Deloitte viser at det står dårlig til i bedriftene når det gjelder å slette personopplysninger som ikke lenger er i bruk. Hele 44 prosent av respondentene oppgir at virksomheten ikke kan dokumentere rutiner for sletting av personopplysninger. 14 prosent av bedriftene i undersøkelsen vet ikke om de har slike rutiner i det hele tatt. Hva skjer da med dine personopplysninger den dagen du slutter i bedriften? Hva skjer med dine kunders personopplysninger den dagen de ikke lenger ønsker å være kunde?

UT AV NORGE

Stadig flere norske bedrifter overfører personopplysninger ut av Norge og ut av EU/EØS. I finansnæringen benytter flere bedrifter fjernsupportløsninger for IT-drift i India. Bakgrunnen for outsourcingen er ønsket om å kutte kostnader eller behovet for ny kompetanse.

– Kan kundene i finansnæringen i Norge være sikre på at deres personopplysninger ikke havner på urettmessige hender når bedrifter i næringen får fjernsupport fra IT-drift i India?

– Virksomheter som vil overføre personopplysninger til utlandet, kan bare overføre dem til stater som sikrer en forsvarlig behandling av opplysningene. De nye personvernreglene endrer hvordan virksomhetene kan bruke personopplysninger fra europeiske borgere. Dette er uavhengig av om personopplysningene behandles i eller utenfor EU/EØS. Nå sier 97 prosent av de spurte i undersøkelsen at de ikke overfører personopplysninger ut av EU, noe som er overraskende tatt i betraktning av den sterke globaliseringen vi ser, avslutter advokat Bjørn Ofstad i Deloitte Legal.