- Mange virksomheter prioriterer kun enkelte deler av GDPR

- Mange virksomheter prioriterer kun enkelte deler av GDPR

Personvernforordningen oppleves ikke så krevende som i begynnelsen. Likevel ser vi at selve gjennomføringen av GDPR i virksomheter stagnerer, sier jurist og rådgiver Gry Anita Langsæther i Sticos.

Heidi Kultorp, kommunikasjon- og innholdsansvarlig i Sticos

Det er ett år siden personvernforordningen GDPR trådte i kraft. Sticos har det siste året hjulpet rundt 150 virksomheter med å få oversikt over regelverket og få kartlagt nåværende situasjonen for GDPR i egen virksomhet gjennom workshopen Serious Game

- Vi har gått fra en situasjon hvor mange først oppfattet GDPR som veldig krevende og omfattende, til at den enkelte virksomhet faktisk har gjennomført tiltak for å være innenfor personvernforordningen, sier Gry Anita Langsæther som er jurist og rådgiver innenfor GDPR, HMS og arbeidsrett i Sticos.

Trenger du hjelp med GDPR? Sticos har personvernombud med ekspertkompetanse til leie 

GDPR-fokuset stagnerer

Hun erfarer at virksomheter har hatt stort behov for starthjelp for å komme i gang, men at fokuset på GDPR dabber av etter hvert. 

- Personvernforordningen oppfattes som uoversiktlig og vanskelig, men når virksomhetene har utarbeidet GDPR-rutiner og dokumenter, oppleves ikke regelverket så «slitsomt» som i begynnelsen. Likevel ser vi at selve gjennomføringen av GDPR stagnerer. Vi opplever at mange virksomheter kun prioriterer enkelte deler av GDPR-forpliktelsene, som å tildele roller og å utarbeide databehandleravtaler. Videre erfarer vi at mange virksomheter fortsatt har et stort behov for konkret veiledning om regelverket, og mange er usikre på hvilke konsekvenser ulike løsninger gir.

Personopplysninger og handlingsplan

Det er flere områder innenfor personvernforordningen som blir nedprioritert av norske virksomheter, forteller Langsæther. 

- Vår erfaring er at mange virksomheter ikke har kontroll på behandlingsgrunnlaget for personopplysninger som de oppbevarer. Mange tenker at det er kjekt å ha. De vet ikke at behandling av personopplysninger må være forankret i GDPR-regelverket. Arbeidet med handlingsplan, er også noe som har blitt nedprioritert av mange.

GDPR - et kontinuerlig arbeid

- Hvordan kan bedrifter sikre GDPR-arbeidet på daglig basis?

- Først og fremst må ledelsen ta ansvar slik at det avsettes nok tid og ressurser til å jobbe med GDPR i virksomheten. Ledelsen må videre erkjenne at GDPR er et kontinuerlig arbeid. Et årshjul som viser hva man skal gjøre til enhver tid er et nyttig hjelpemiddel for å holde fokus og sikre kontinuitet i arbeidet. De fleste personvernbrudd skjer på grunn av menneskelige feil og det er derfor viktig å skape en bedriftskultur der personvern tas på alvor, sier Langsæther. 

Hun mener at det er avgjørende at ledelsen og de ansatte har en bevissthet om hvorfor personvern er viktig, og ikke bare arbeider med GDPR for å sikre seg mot å bli ilagt høye bøter og omdømmetap.

- Personvern er ikke bare en grunnleggende rettighet for den enkelte. Virksomheter med et godt personvern virker positivt for forbrukerne og gir dermed en konkurransefordel. Virksomheter som har en god personvernstrategi kan også stå sterkere i en rekrutteringssammenheng. En inngang er å tenke at personvern ikke bare handler om regelverk og etterlevelse, men også om moral. Det er moralsk riktig å verne personopplysninger, fordi det handler om enkeltindividets grunnleggende rettigheter. 

GRATIS E-BOK: Dette må du vite hvis du skal si opp en medarbeider

Print

Navn:
E-post:
Emne:
Din melding:
x