GDPR er bare begynnelsen

| Innsikt

Enkelte mener GDPR er en hype som gradvis vil avta etter 25. mai neste år. Dette tror vi er feil.

Det stopper ikke med GDPR

GDPR er verken det første eller siste lovgiverinsentivet innenfor personvern og tilstøtende rettsområder. Det såkalte NIS-direktivet som ble vedtatt i 2016 innfører omfattende krav knyttet til nettverks- og informasjonssikkerhet og følger opp EUs strategi innenfor feltet for cyber security fra 2013.

På trappene er også nye regler for elektronisk kommunikasjon (ePrivacy Regulation) som vil omfatte flere OTT-tjenester (kommunikasjonstjenester som ikke har egen infrastruktur) som tidligere kunne operere utenfor dette rammeverket. Dette regelverket regulerer også bruk av online identifikatorer (cookies mv.) og utfyller GDPR når det kommer til «datafangst» på internett.

Et kommersielt imperativ

Enten man bejubler disse lovreformene eller ikke, har personvernreglene kommet for å bli. Mest sannsynlig vil etterlevelse av personvernregler bare bli viktigere og viktigere, ikke bare i form av tiltak som reduserer risiko for bøter, men som et kommersielt imperativ.

Virksomheter som utsetter å gjøre grep for etterlevelse av GDPR risikerer å tape terreng i markedet. Grunnene til dette er mange. For det første er bevisstheten i markedet om dette regelverket stadig økende. Seriøse aktører etterspør dokumentasjon på at potensielle kontraktsparter etterlever personvernkrav forut for kontraktsinngåelse. Virksomheter som ikke kan svare for seg, risikerer i beste fall at det går med ekstra tid og ressurser ved inngåelse av kontrakter, og i verste fall at virksomheten taper viktige kontrakter.

Vi ser også at det er et økende fokus på personverncompliance i forbindelse med selskapsgjennomganger (due diligence), både på kjøper- og selgersiden. Manglende dokumentasjon på etterlevelse av sentrale personvernkrav kan medføre lavere verdsettelse av selskapet dersom kjøper oppfatter at det er en risiko heftet ved dette (for eksempel at kjøper ikke har fått klarhet i om opplysningene i en database er innsamlet på lovlig vis slik at databasen har den kommersielle verdien kjøper forutsetter). Tilsvarende vil selger kunne tjene på å gjennomgå og revidere sin personverndokumentasjon før selger gjør sin due diligence.

GDPR er ikke et prosjekt

Mange virksomheter kjører i disse dager «GDPR-prosjekter». Strengt tatt er prosjekt en dårlig betegnelse for arbeid med personvern i virksomheten. Prosjekter kjennetegnes av at de er tidsavgrensede, og at det arbeides mot et mål som definerer prosjektets avslutning.  GDPR innfører prinsipper som ikke kan oppfylles gjennom et prosjekt. GDPR forutsetter at virksomheten vedlikeholder tiltak og rutiner ved jevnlig kontroll, rapportering og revisjon. Mange virksomheter får etter GDPR også en plikt til å ha en personvernrådgiver (DPO), noe som understreker at personvern representerer en løpende forpliktelse.

Er GDPR en hype?

Personvern er kommet for å bli, og mest sannsynlig vil dette bare bli viktigere og viktigere, særlig innenfor enkelte sektorer og bransjer. Det er teknologiutviklingen som er den viktigste driveren for hvordan lovgivningen utvikler seg på dette feltet. Lite taler for at industrien som er bygget opp omkring kommersialisering av personopplysninger er på retur, snarere tvert i mot, og det har derfor formodningen mot seg at fokus på personvern vil avta i tiden fremover.

 

Artikkelen ble første gang publisert i Finansavisen 20. november 2017.