Den nye personvernforordningen (EU General Data Protection Regulation, GDPR) vil gjelde alle virksomheter i Norge som behandler persondata, som i praksis er de fleste, ifølge NHO. Regelverket trer i kraft 25. mai 2018, og virksomheter har under ett år på seg til å sikre at de håndterer persondata i samsvar med regelverket.

Risk:Value-rapporten er laget for NTT Security, og omfatter svar fra 1350 ledere utenfor IT-funksjonen i 11 land. 100 respondenter er ledere i store, norske virksomheter. Rapporten ser på holdninger knyttet til risiko og informasjonssikkerhet blant ledere.

– Det er overraskende at så mange som 53 prosent av de norske respondentene ikke svarer bekreftende på at GDPR angår dem, når vi vet at omtrent alle virksomheter må forholde seg til reglene. Selv om de som har svart på undersøkelsen ikke jobber med IT, burde det være en selvfølge at de er bevisste nye regelverk som påvirker sikkerhet og data i virksomheten. Særlig siden det kan ha store konsekvenser dersom man ikke følger regelverket, sier Henrik Davidsson, nordisk salgsdirektør i NTT Security.

Ifølge NHO ligger man godt an til å oppfylle de nye reglene dersom man allerede følger de gamle, men mye tyder på at mange ikke kjenner hverken de gamle eller de nye reglene godt nok.

– Desto viktigere er det da å begynne å kartlegge hvilke regler som gjelder og hvordan man kan oppfylle dem. Virksomheter med ledere som ikke er klar over at GDPR angår dem, har sannsynligvis heller ikke begynt å se på hvilke endringer de må gjøre. Det begynner å haste, sier Davidsson.

Databehandling og lagring er viktige elementer i GDPR. 34 prosent av de norske lederne vet ikke hvor virksomheten lagrer sine data, og kun 40 prosent sier at deres kritiske data, som kundedata, er helt trygge.

– Det er viktigere enn noen gang å ha kontroll på dataene sine. Å vite hvor dataene er og sikre virksomhetskritiske verdier er riktig sted å begynne, sier Davidsson.

GDPR gjelder for alle virksomheter i verden som lagrer data om europeiske borgere, ikke bare i EU/EØS. Undersøkelsen viser likevel at beslutningstakere i USA og Austraila ikke er klar over dette. Kun 25 prosent i USA tror det angår deres virksomhet, mens 26 prosent svarer at de ikke vet. I Australia er det 26 prosent som mener det ikke er relevant for dem, mens 19 prosent svarer ”vet ikke”. Dersom reglementet ikke følges kan det medføre bot på opptil 20 millioner Euro eller fire prosent av årsomsetningen, avhengig av hva som er høyest.

5 råd for å komme i gang med GDPR

1. Ikke vent. Kom i gang med arbeidet for å overholde reglene i den nye personvernforordningen med en gang, de trer snart i kraft.
2. Få oversikt over dataene. Den største jobben knyttet til GDPR er å få oversikt over dataene og dataflyten. Dette gjelder særlig komplekse organisasjoner hvor man har systemer som har vokst gradvis over tid.
3. Skaff dere kunnskap. De som er ansvarlige for samsvar med lover og regelverk må de kurses på hva som kreves, så de vet hva som må gjøres. De bør også videreformidle kunnskapen og sørge for at flere i organisasjonen får denne forståelsen, særskilt de i ledelsesfunksjoner.
4. Gå gjennom systemene dine. I henhold til GDPR kan man kreve at informasjon om en selv blir slettet eller overført innen en gitt tid. For at dette skal håndteres godt bør dataene ha enhetlige formater. Det betyr at en del gamle systemer bør oppdateres.
5. Lag en responsprosedyre for hendelser. Ved sikkerhetsbrudd plikter du å varsle innen 72 timer til Datatilsynet og de som kan være rammet. Brudd skjer ikke nødvendigvis i kontortiden, og dere har ingen tid å miste når noe skjer. Da blir gode rutiner viktige.

- Kilde: NTT Security