Menu
Odd Ingve Garpestad
Odd Ingve Garpestad Proplan Foto: Anne Lise Norheim

Advarer lokale bedrifter mot nytt personverndirektiv

Innen EUs nye personverndirektiv GDPR trår i kraft 1. juli må bedrifter ha ryddet opp i lagrede persondata. Nå advarer Proplan lokale bedrifter mot å bli tatt på sengen av det nye direktivet. .

Av admin | 27.04.2018 15:45:10

Teknologi og personvern: Innen EUs nye personverndirektiv GDPR trår i kraft 25. mai må bedrifter og andre virksomheter ha ryddet opp i lagrede persondata og ha fått bekreftelse fra mottakere av elektroniske nyhetsbrev om at de fortsatt vil stå på mottakerlisten.

Advarer mot å bli tatt på sengen
Softwareselskapet Proplan med avdelingi Haugesund spår hektiske tider frem mot tidsfristen og advarer Rogalands-bedrifter mot å bli tatt på senga av det nye direktivet.

– Dette er mye større enn mange tror. Flere må til og med etablere en egen personvernsombudsfunksjon internt i virksomheten, sier adm. dir. og gründer Odd Ingve Garpestad i IT-bedriften Proplan som har ekspandert fra Sandnes til Kristiansand, Oslo, Haugesund og Bergen.

Han forteller at det for tiden jobbes aktivt hos programvareprodusenter for å være à jour i forhold til de nye kravene.

– De fleste persondata er i dag lagret i IT-systemer. For at virksomheter skal kunne lagre og behandle persondata i samsvar med lovgivningen, må systemene nødvendigvis håndtere dette. Nå blir systemene oppdatert i høyt tempo, sier Garpestad, og legger til:
– I neste omgang må bedriftene iverksette GDPR-tilretteleggingen. Det kommer til å bli litt av et hardkjør nå som vi er i slutten av april.

Mange tror direktivet ikke berører dem
– Der tar de feil. Fra 25. mai må du ha full kontroll på hvilke data du lagrer, hvorfor du har lagret dem, hvor de er lagret og hvordan de blir brukt. Virksomhetene må dessuten etter ønske av berørte personer kunne overføre dataene til andre leverandører i et standard-format for filoverføring. Ikke noen umulighet å tilrettelegge for, men teknologien skal være på plass.

Som eksempler på persondata nevner Garpestad navn, personnummer, adresse, telefonnummer, e-postadresse, IP-adresser, kjønn, inntekt, interesser, besøkte websider, religiøs og politisk tilknytning, helseopplysninger, medlemskap i fagforeninger etc. Enkelte av disse opplysningene er kategorisert som sensitive og må behandles deretter.

Risikerer bøter på opp mot 20 millioner
I Norge har vi ligget langt fremme på personvernlovgivning. Derfor vil ikke overgangen være så stor for virksomheter som allerede er à jour i forhold til personopplysningsloven. Uten å være klar over det, så har folk flest allerede erfart at noen virksomheter er tidlig ute med å drive i samsvar med GDPR.

– Nå holder det ikke lenger å sende ut e-post-er til kunder, medlemmer, abonnementer, innbyggere eller andre uten å innhente aktivt samtykke. Før har folk kunne trykke ”meld av” dersom de for eksempel ikke ville ha e-post-nyhetsbrev. Nå må de trykke ”jeg vil ha”. Det er en stor forskjell og det kan i tiden fremover bli mange som sender ut samtykke-mailer samtidig.

I en del litt skrekk-basert-informasjon om GDPR skiltes det med risiko for bøter på opptil 20 millioner Euro eller fire prosent av global omsetning dersom virksomheter ikke etterlever kravene.

– Vårt første råd er å sette seg inn i regelverket og jobbe igjennom dette. Hva slags data har dere og hvordan samler, behandler og bruker dere denne? Dette må dere ikke bare klare svar på. Dere må dokumentere svarene, sier Mette Gulbrandsen, markedssjef i Proplan.

For å få trygghet rundt gråsonene, anbefaler Proplan å trekke inn juridisk ekspertise.

Sjekkliste

1. Sett dere inn i regelverket. Les veiledninger på Datatilsynet.no. SpørIT-
leverandører som Proplan

2. Beskriv hvordan dere har forholdt dere til GDPR, hvilke persondata dere
kan ha, behandle og bruke

3. Skaff oversikt over hva slags data dere faktisk har. Let godt!

4. Konsultér jurist eller jobb veldig grundig gjennom selv.

5. Rydd opp og slett!

6. Innhent eventuelle samtykker og lagre disse opplysningene.

Flere nyheter: