Personvern i styrerommet: en ny virkelighet for ledere

06.04.2017

Det er bare 13 måneder igjen til EUs nye og inngripende personvernregler trer i kraft. Advokat Eva Jarbekk omtalte gruppesøksmål i en kronikk i Dagens Næringsliv den 3. april. Daglig leders og styremedlemmers personlig ansvar har vært lite diskutert. 

Datasikkerhet og personvern har ikke vært diskutert mye i styrerommene. Ansvaret for dette har vært overlatt til CTO og IT-avdelingen. Med gjennomgripende digitalisering og en massiv økning av datakriminalitet, er det på høy tid at styrer og ledelse våkner. Med EUs nye personvernregler - General Data Protection Regulation (GDPR) - skjerpes styrets plikter, og dermed muligheten for å komme i ansvar.

Ledelsen og styret i norske virksomheter har etter aksjeloven ansvar for forsvarlig drift. I tillegg til tradisjonell oppfølging, krever GDPR at tilfredsstillende tekniske og organisatoriske tiltak for å sikre personvernet iverksettes. Personvernet omfatter ansatte, kunder, leverandører, pasienter, medlemmer, borgere mm.

GDPR er blitt kjent for sitt bøtenivå. Bøtenivået er blitt skjerpet for at ledelsen skal våkne og ta grep. Dersom ledelsen og styre sørger for etterlevelse, reduseres derfor sjansene for høye bøter kraftig. GDRP artikkel 83 sier uttrykkelig at bøter ved databrudd skal fastsettes etter overtredelsens grovhet - og hvilke sikringstiltak virksomheten har iverksatt.

Men de høye bøtene bør ikke være den viktigste grunnen til å etterleve reglene. Like viktig er risikoen for tap av virksomhetens omdømme. Ikke bare er eksemplene vi har sett i media angående bruk av apper og hacking alvorlige - i forrige uke skrev Digi om brukernes risiko ved at alt, både bilbremser, fengselsdører og fly, kan hackes. Samtidig avslørte også TV 2 Hjelper deg at et antall kundeklubber systematisk behandler personopplysninger ulovlig. Risikoen for omdømmetap og erstatningskrav er høy ved slike hendelser.

Å unnlate å beskytte seg mot dataangrep og tap kan anses som uforsvarlig opptreden fra ledelsen og styret, særlig når kravene er strenge og risikoen er godt kjent.

Hvordan skal virksomheten ta sitt ansvar?

Skaff deg en oversikt over hva GDPR og datasikkerhet betyr for din virksomhet. Selv om GDPR reiser en rekke juridiske spørsmål, er etterlevelse i stor grad en logistikkoperasjon. Operasjonen må organiseres godt, for tiden er knapp frem til mai 2018, når GDPR trer i kraft.

I første fase bør du sette sammen et lag, med én ansvarlig person som rapporterer til daglig leder og styret. Du som styremedlem eller daglig leder trenger ikke å være ekspert i personvern, men må sørge for relevant rådgivning.

I andre fase bør dere kartlegge dagens situasjon, og vurdere hva virksomheten mangler etter de nye reglene. Hvilke nye rutiner må på plass?

Den tredje fasen innebærer å utarbeide nødvendige rutiner: Risikovurderinger, compliance-mekanismer, handlingsplaner ved databrudd, katastrofeberedskap og retningslinjer for innebygget personvern, for å nevne noen.

I fase fire implementeres rutinene teknisk og organisatorisk. Sørg for at rutinene blir kjent, at virksomheten og underleverandører utvikler kultur for godt personvern, og at virksomhetens avtaleverk reflekterer dette.

Påse videre at personvern og datasikkerhet kommer inn på styrets årshjul og inn i styreinstruksen. Fordi ikke-personlige data kan være like viktige som personlige data, bør rutinene innlemmes i det generelle kvalitets- og sikkerhetsarbeidet.

Sist, men ikke minst, forsikre deg om at virksomhetens forsikringer dekker denne nye virkeligheten. Gjenoppretting av data, sikring og varsling av tusenvis av personer ved databrudd kan bli kostbart. Det samme gjelder tiltak for å redusere skaden på omdømmet og juridisk bistand.

Tiden er knapp. Passivitet er risikofylt. Begynn nå.

------------------------------------------------------

Kristian Foss og Kristin Haram Førde er personvernadvokater i Bull & Co advokatfirma og står bak personvernfabrikken.no. 

Denne kronikken sto på trykk i Dagens Næringsliv 6. april 2017.