Tilbake

Personvern som konkurransefortrinn

Aktuelt | 08.11.17

Personvern
EUs personvernforordning (GDPR) har fått mye oppmerksomhet fordi den fra mai 2018 innfører nye og strengere personvernregler og svært mye strengere sanksjoner (opptil 20 millioner eller 4 % av virksomheters globale omsetning). Mens mange virksomheters arbeid med forberedelser synes å være drevet av frykt for sanksjoner, har det vært mindre fokus på de mulighetene som de nye reglene gir.

Personvern som konkurransefortrinn

GDPR er forkortelsen for General Data Protection Regulation. I dette ligger også en av hovedutfordringene, nemlig at det er et generelt regelverk som gjelder for alle virksomheter som håndterer opplysninger om individer. I praksis betyr det at alle store og små virksomheter som har ansatte eller kunder (også kontaktopplysninger på virksomhetskunder), må forholde seg til det samme regelverket.

Hvilke konsekvenser regelverket har for den enkelte virksomhet varierer i stor grad. GDPR inneholder nemlig mange bestemmelser om at tiltakene skal stå i forhold til risikoen og forutsetter eksempelvis at virksomhetene har vurdert om nye krav til personvernrådgiver, konsekvensutredning og dataportabilitet gjelder for dem.

Etterlevelse av personvernregelverket er et lederansvar, og ledelsen bør ha en bevisst strategi for personvernarbeidet. Strategien og hvor man legger listen mht. arbeid med personvern må særlig ta hensyn til risikoen knyttet til behandling av personopplysninger og hvorvidt personvern og sikkerhet kan gjøres til et konkurransefortrinn.

For mange virksomheter vil personvern først og fremst være et compliance-spørsmål, der det er vanskelig å differensiere seg i markedet ved å være god på personvern. Strategien bør da fokusere på å foreta effektive og kostnadseffektive grep, samtidig som man er komfortabelt innenfor regelverkets rammer og kundenes forventninger.

For andre vil det være mulig å oppnå konkurransefortrinn ved å tilby sikre og gode tjenester, gjerne tuftet på prinsipper om innebygd personvern, som innbyr til brukernes tillitt.

I alle tilfeller bør virksomhetene nøye vurdere på hvilke områder de er tjent med å forsøke å skille seg ut fra mengden som "best i klassen", og hvor det heller er hensiktsmessig å jobbe mot det som anses som "best practice".

Stilt overfor et omfattende regelverk som kan være vanskelig å anvende, vil det for mange aktører være tjenlig at bransjen som sådan forsøker å avklare hva som er fornuftig praktisering av regelverket. Man unngår da at hver aktør må bruke mye tid på å finne ut av dette selv, og i praksis vil det redusere risiko å kunne peke på at de andre aktørene i samme bransje har lagt seg på samme linje. Det vil også kunne være uheldig om noen legger listen unødvendig høyt, slik at de andre må følge etter. På den annen side vil nok de fleste bransjer være tjent med at alle i samme bransje holder et høyt nivå, siden overtredelser vil kunne peke på bransjen som sådan.

For å håndtere de utfordringer og muligheter som GDPR gir, er det viktig at virksomhetens ledelse aktivt er med å utpensle virksomhetens strategi. Disse spørsmålene, og praktiske råd og erfaringer, vil bli diskutert på Hegnar Medias konferanse "GDPR for ledere", 21. november.


Artikkelen er skrevet av
Thomas Olsen (PhD), og ble første gang publisert i Finansavisen 6. november 2017