‹ Tilbake til artikler
Ny personvernlovgivning (General Data Protection Regulation, GDPR) trer i kraft i EU (og Norge) i mai 2018. Omtalen av det nye regelverket har til nå fokusert på en voldsom økning i bøtenivået, mange nye krav som vil være svært kostnads- og kompetansekrevende å adressere, samt en mer koordinert og slagkraftig tilsynsaktivitet i EU. Dette har dessverre forskjøvet et annet og mye viktigere aspekt nemlig hva regelverket tilrettelegger for; enklere og tryggere innsamling og bruk av personopplysninger.
Prinsippene: retten til å kunne kreve sletting (right to be forgotten), innebygd personvern (privacy by design) og retten til å ta med seg data fra leverandører (data portability) innføres for å gjøre det enklere og tryggere for enkeltmennesker å avgi personopplysninger til tjenestetilbydere for å få fordeler. GDPR gir med andre ord større muligheter for virksomheter til å innhente opplysninger om sine kunder, som igjen kan benyttes til å gi kundene mer målrettet og bedre tilbud.
En av de store diskusjonene som pågår i mange virksomheter akkurat nå, er hvordan virksomheter kan sanke og utnytte innsikt i store datamengder om enkeltmenneskers atferd og preferanser. Dette er viktig for Skatteetaten for å kunne jakte skatteunndragelser mest mulig effektivt, kollektivtransportsektoren for å kunne gi et tilpasset transporttilbud, kredittforetak for å gi riktig kredittscore, handelsstanden for å målrette markedsføring og dimensjonere varelager, media, politi, telekom - listen kunne fortsatt.
En utfordring for mange som har ønsket å skaffe kundedata og benytte dette til det beste for samfunnet og det konsumerende mennesket, har vært personvernet. Dagens lovgivning, vedtatt i 2000, er basert på et direktiv fra den teknologiske steinalderen (1995...). Heldigvis har vi hatt et Datatilsyn i Norge som har vært pådriver for et moderne personvernsyn, men regelverket er uansett utdatert. Ved innføring av GDPR vil virksomhetene få helt nye muligheter til å samle inn og benytte personopplysninger. Ordningen med konsesjon og meldeplikt bortfaller, og enkeltmenneskets råderett over opplysninger om dem selv forsterkes.
Virksomheter som ønsker å skaffe seg bedre innsikt i sine kunders atferd for å gi bedre og mer målrettede tilbud, bør gripe denne muligheten til det beste for alle parter og det digitale samfunnet.
Så hva skal man gjøre?
Det viktigste er å bygge kompetanse og forstå mulighetene. Det er svært viktig at kompetanse på personvern ikke kun utvikles og forvaltes i juridiske avdelinger eller i sikkerhetsmiljø som tradisjonelt er mest trent på å identifisere problemer og se begrensninger.
GDPR bør medføre at fokuset på personvern flyttes fra å være en kostnadsfaktor til en potensiell kilde til inntekter og forbedret kundepleie. Virksomheter bør analysere mulighetene som åpnes, og dette bør gjøres i styrer, ledergrupper, markedsavdelinger, enheter for forretningsutvikling, strategi og innovasjon.
Det er selvsagt slik at jo mer offensiv man ønsker å være i å samle inn og utnytte innsikt og kundedata, desto bedre må internkontroll, sikkerhets- og IT-løsningene være. Retten til bli glemt medfører at dersom kundene mister tillit, kan de trekke samtykket sitt og da må virksomheten kunne slette opplysninger hele veien ned i siste back-up og ut til den mest perifere skyleverandør. Virksomhetene må også være åpen overfor publikum og myndigheter om hvordan man innretter personvernarbeidet.
Tiden er kommet for å redefinere synet på hva godt personvern er. GDPR flytter personvernreguleringen fra å være en utdatert begrensning, til å åpne nye muligheter for en enklere hverdag for oss alle som innbyggere og konsumenter i et digitalt samfunn. For europeiske bedrifter kan godt og smart personvernarbeid nå faktisk representere et ekte konkurransefortrinn!
15. mars arrangerer PwC et gratis frokostseminar om GDPR og hvilke muligheter og utfordringer den nye forordningen gir. Velkommen!
Legg igjen en kommentar