Bør innføringen av GDPR i Norge avventes?

Denne bekymringen står å lese i It-politisk råd sitt høringssvar til Justis- og beredskapsdepartementet om utkast til ny personopplysningslov i Norge fra 25. mai 2018. Høringsfristen gikk ut 16. oktober, og det kom inn 132 svar.

It-politisk råd representerer DND i saker av politisk og strategisk viktighet for bransjen og foreningen, og ledes av advokat og partner Arve Føyen i Føyen Torkildsen. De har gjennomgått utkastet grundig, og finner altså grunn til å reise denne bekymringen – som er verdt å høre på.

På tross av at de fleste prinsippene er kjent fra gjeldende lovverk, mener rådet at forordningen innebærer vesentlige endringer. Behovet for dokumenterte vurderinger vil øke markant for norske virksomheter, noe som vil ha store økonomiske og administrative konsekvenser. Alle må justere sine prosesser og rutiner, og mange må endre eller anskaffe nye systemløsninger for å tilfredsstille nye krav til håndtering av persondata. Det vil ta tid og koste penger.

En rekke grunnleggende bestemmelser i forordningen er uklare, noe som gir stort tolkningsrom. Eksisterende praksis vil dessuten ha begrenset vekt i fortolkningen av det nye regelverket, og veiledninger som til nå er publisert gir i begrenset grad klargjøring. Når man så vet at modenhetsnivået hos norske virksomheter er nokså lavt på dette området, er det grunn til å lytte til rådets bekymringsmelding.

"Vi har vanskelig for å se hva man har å tjene på å foregripe innføring av forordningen i forhold til den ordinære prosessen for innføring av EU-lovgivning i norsk rett. Etter vårt syn bør man vurdere å avvente innføringen til man har fått noe mer erfaring fra europeisk nivå", konkluderer rådet. Det er noe å tenke på.

Det drøyt 200 dager igjen til den nye forordningen skal tre i kraft. Mange norske virksomheter har likevel ikke viet dette mye oppmerksomhet til nå, og noen håper kanskje det skal gå over. Nå begynner det å haste, og mange vil få store tids- og ressursmessige utfordringer med å nå i mål til fristen.

Norge har en personopplysningslov i dag, men mye har skjedd siden den trådte i kraft 1. januar 2001. Med den nye forordningen blir personvernet betydelig styrket i vår digitale hverdag. Det er bra, for persondata er blitt vår tids gull. GDPR er derfor viktig da det styrker borgernes rettigheter og tillit til digitale tjenester.

Det er også andre positive forhold med GDPR, og det kan være vel anvendt tid å skumme noen av høringssvarene. Mange sektorer og virksomheter har latt sin stemme høre, noe som er viktig da dette berører hele samfunnet.

Datatilsynet har for eksempel gitt et svært omfattende svar, og de har i tillegg mye nyttig informasjon og veiledninger på sine nettsider. Det er grunn til å berømme dem for dette arbeidet, men spørsmålet er om de har kapasitet til å hjelpe og veilede alle som får behov for det. Nei, ikke slik det er i dag – noe de selv påpeker som avslutning på sitt 102 siders høringssvar.

En annen viktig aktør er NHO som har gitt et svar på vegne av mange norske bedrifter. De påpeker flere forhold som sammenfaller med It-politisk råd, blant annet økte kostnader, uklare bestemmelser og stort behov for veiledning. De advarer også mot å innføre særnorske regler som belaster bedriftene utover det forordningen pålegger. Dette er noe forordningen selv nevner i fortalens punkt 13. La meg også nevne Regelrådet som konkluderer med at konsekvensene for næringslivet ikke er tilstrekkelig synliggjort i høringsnotatet fra departementet.

Jeg spør igjen: Bør Norge avvente innføringen av GDPR? Dette er et viktig spørsmål som DND ønsker å diskutere med ulike aktører på Fredag morgen hos DND den 3. november i Folkets Hus i Oslo. Still gjerne opp i salen eller via streaming.

GDPR er viktig for Norge, og høringsrunden har gitt mange tilbakemeldinger. Det blir derfor spennende å se hva departementet ender ut med.