Illustrasjon: iStock

MULIGHETER: Det er ingen motsetning mellom digitalisering av samfunnet og et sterkt personvern, skriver Jens Christian Gjesti (Kvale Advokatfirma), Preben Gustavsen (Sopra Steria) og Tor-Ståle Hansen (Sopra Steria). Illustrasjon: iStock

Nye personvernsregler gir nye forretningsmuligheter

KRONIKK: Nå er det under ett år til den nye personvernforordningen trer i kraft i EU. Det nye regelverket har fått mye oppmerksomhet, og det med en god grunn. Regelverket berører i prinsippet alle norske virksomheter, skriver kronikkforfatterne.

For mange virksomheter, og særlig de som er rettet mot forbrukermarkedet, vil det være viktig å sette seg grundig inn i regelverket. Det må de for å forstå hvilke juridiske nyvinninger og endringer som vil være av betydning, men også for å utforske hvilke forretningsmuligheter de nye personvernreglene kan gi. Et sterkere personvern legger ingen begrensninger på dette, snarere tvert imot: Det er ingen motsetning mellom digitalisering av samfunnet og et sterkt personvern.

De siste månedene har fremtredende rådgivere fremstilt den nye personvernlovgivingen som noe norske virksomheter bør frykte. Vi har blitt advart om enorme bøter, gruppesøksmål og personlig styreansvar. Men er det egentlig dette næringslivet trenger å vite om de nye reglene? Vi mener at svaret er nei.

La oss avlive noen populære myter om de nye reglene:

  • Personvernforordningen er et moderniseringsprosjekt, ikke et «nybygg». Mange av de viktigste kravene gjelder allerede i Norge i dag.
  • Høye bøter er mest aktuelt for de som ikke har startet prosessen, ikke dem som prøvde, men kanskje feilet.
  • Personvernforordningen er en forretningsmulighet, ikke en hemsko.
  • Den nye personvernforordningen ikke et it-ansvar, det er ansvaret til bedriften.

Det er de virksomhetene som er best på personvern som vil stå igjen som vinnerne, og som vil ha et tydelig konkurransefortrinn. Brukerne skal ha en berettiget tillit til digitale tjenester. En vesentlig del av de nye personvernreglene hviler på dette formålet. I denne sammenhengen er det et uttalt mål fra EU-Kommisjonen at borgerne skal ta tilbake eierskapet til sine egne data. Her ligger det helt åpenbare forretningsmuligheter som næringslivet kan ta seg nytte av. Tillit og godt omdømme hos kundene er nøkkelordet.

Brukernes bevissthet rundt personvern øker, og om få år vil de aller fleste ta retten til dataportabilitet for gitt. Dataportabilitet betyr at dersom noen behandler personopplysninger basert på samtykke, for eksempel for å oppfylle en avtale, kan personen kreve å ta med seg opplysningene sine videre til et annet selskap.

Det er ikke utenkelig at enkelte vil selge opplysninger om seg selv for å oppnå fordeler og mer relevant direkte markedsføring.

Forsikringsprodukter basert på persondata er et åpenbart eksempel hvor dette blir viktig. Forsikringsselskapene kjemper om de samme kundene, og kundene vil etter hvert kjenne verdien av sine egne data og kreve at de plasseres der de får best pris. Det er heller ikke utenkelig at enkelte vil selge opplysninger om seg selv for å oppnå fordeler og mer relevant direkte markedsføring. Henger man etter her vil kundens tillit henge i en syltynn tråd. Krav om sletting av personopplysninger og opphør av kundeforholdet kan bli konsekvensen.

Nye forretningsområder vil kunne komme i fremtiden, som for eksempel formidling av verifikasjon av personidentitet i form av digital ID, som BankID med flere. Mange virksomheter vil se at de ikke trenger hente inn mengder med persondata, de aller fleste trenger kun en ID-verifikasjon.

Virksomheter som er etablert i flere land hvor lovgivingen blir gjeldende, går også en enklere hverdag i møte når det gjelder internkontroll og etterlevelse av regelverk. Med andre ord så blir personvernet harmonisert. I dag opplever mange det som komplisert med nasjonale lovverk basert på personverndirektiv som personopplysningslover, siden det ikke er lik implementering i alle land.

Det neste året vil være tiden for å gjennomføre en rekke organisatoriske, strategiske og forretningsmessige grep for mange norske virksomheter. Denne perioden bør brukes på å utforske mulighetene som ligger i de nye personvernreglene, samt innarbeide nødvendige rutiner som sikrer etterlevelse av regelverket.

Jens Christian Gjesti (Kvale Advokatfirma), Preben Gustavsen (Sopra Steria) og Tor-Ståle Hansen (Sopra Steria).