EU GDPR: en snever debatt

Etter å ha avholdt en rekke seminarer rundt temaet «EU GDPR og ny personvernforordning», samt sett på hva som rører seg i markedet her i Norge, må jeg si at sammenlignet med utlandet så er til tider den norske debatten jeg er vitne til ganske snever. En gruppe som vi kan takke for dette, er gruppen av leverandører som nå ønsker så sko seg på den bølgen av forretningsmuligheter de ser for seg. Dette gjelder alle typer av leverandører, alt fra løsningsleverandører til tjenesteleverandører, og ja, jeg er en av dem.

Problemet med debatten så langt og likeledes hvordan leverandørene posisjonerer seg, er at hovedfokuset har vært rundt det faktum at EU GDPR legger opp til et formidabelt bøtenivå dersom man ikke greier å etterleve regulativet og dette blir oppdaget. Med andre ord den typiske «skremme livet av deg» strategien som vår bransje til dels har levd godt av opp i gjennom tidene.

Denne gangen bør debatten og tilhørende diskusjoner løftes flere hakk fordi bruken av person identifiserbar informasjon – PII faktisk fortjener det, fordi den angår oss alle og ikke minst fordi den, dersom gjort riktig, også omhandler verdi. Nå skal jeg også være veldig forsiktig med å skjære alle over en kam, for det finnes mange dyktige mennesker som har satt seg godt inn i problemstillingene og kan adressere disse på en fortreffelig måte. Det er bare det at disse kan lett drukne i den store sammenhengen.

Det å unngå bøter i seg selv skaper veldig liten forretningsverdi.

Det debatten i tillegg til selve personvernet burde dreie seg om er hvordan dette kan være med på å skape verdi for en organisasjon og da snakker vi om reell forretningsverdi. Det har seg nemlig slik at det å etterleve et regulativ i seg selv sjelden skaper verdi ut over selve etterlevelsen. Og det er her litt av utfordringen med dagens debatt ligger. Fordi dagens debatt som regel tar utgangspunkt i etterlevelse av regulativet – EU GDPR og dermed hvordan vi skal sørge for å unngå bøter. Dette er en absolutt relevant problemstilling, men det å unngå bøter i seg selv skaper veldig liten forretningsverdi.

Det vi som leverandører må fokusere på er forretningsverdi og hvordan vi kan skape dette samtidig som vi sørger for at organisasjoner etterlever den nye personvernforordningen. Med andre ord må vi kunne vise hvordan vi kan greie å slå to fluer i en smekk. I tillegg til den åpenbare grunnen så har det seg slik at de aller fleste bedriftsledere her til lands, både innenfor privat og offentlig sektor, vil velge det absolutte minimum, det vil si det som er godt nok, når man blir stilt overfor valget om hvordan man skal etterleve et regulativ som EU GDPR. Det er litt som med forsikring, det kommer nok aldri til å brenne hos meg, så derfor velger jeg det billigste alternativet.   

EU GDPR fortjener mer enn som så, det fortjener å bli behandlet med størst mulig respekt og annerkjennelse av at dette er viktig. Det fortjener at organisasjoner nøye vurdere alternativene og ikke nødvendigvis går etter den billigste prislappen. For å få dette til så må vi som leverandører bli flinkere til å kommunisere forretningsverdien. Vi må være i stand til å sette opp og regne hjem forretnings caser sammen med kundene våre. Sagt på en annen måte, dersom man sørger for å etterleve den nye personvernforordningen så skal det lønne seg ved at man får økt bunnlinje.

Fokuset på verdiskapningen og forretningsverdi har så langt ikke fått spesielt mye oppmerksomhet her til lands, men det er en viktig faktor som vil gjør det lettere for organisasjoner å gjøre de riktig valgene for å etterleve EU GDPR.

Veldig ofte blir vi sittende å diskutere verdi.

Sett dette sammenheng med andre trender som digitalisering, økt bruk av automasjon osv. så er det klart at et verdibudskap basert på EU GDPR selvfølgelig har sin plass. Dette fordi etterlevelse av EU GDPR, dersom det blir gjort riktig, vil være med på å støtte oppunder eksempelvis digitaliseringsprogram og tilsvarende initiativ. Personlig legger jeg merke til dette når jeg er ute blant kunder. Veldig ofte blir vi sittende å diskutere verdi, selv om møtet i utgangspunktet handlet om den nye personvernforordningen. Og det er dette vi som leverandører bør etterstrebe og tilsvarende våre kunder bør ønske seg.

Mitt råd til alle organisasjoner der ute: Dersom din potensielle leverandør innenfor den nye personvernforordningen EU GDPR ikke er i stand til å klart artikulere et forretningsmessig verdibudskap, så bør du som kunde spørre deg selv om dette er rett leverandør?

Kim Knudsen er kundeansvarlig i CA Technologies.