GDPR: "Datatilsynet har fått en ny, svær revolver i beltet" sier Fjørtoft
EUs nye personvernregler treffer arbeidsgiverne i 2018
- Den nye EU-forordningen er et stort folkeskikks-prosjekt, sier partner i PWC Lars Erik Fjørtoft. - Forbrukere og ansatte får nye rettigheter, mens bedriftene får pliktene. Og Datatilsynet har fått en ny diger revolver i beltet.
GDPR er forkortelsen for EUs nye personvernregler. De trer i kraft 25. mai i år. Mens maksimalstraffen for å bryte personvernreglene inntil nå var en bot på 10 000 euro, blir den på 20 millioner Euro, altså nesten 100 millioner norske kroner. Eller 4 prosent av global omsetning
- Datatilsynet kan velge det alternativet som gir høyest bot, forklarer Fjørtoft.
Han har vært opptatt av personvern i hele sin yrkeskarriere, siden starten i Oslo kommunerevisjon på 90-tallet, via Ernst&Young, Deloitte og KPMG for så å bli leder av bankenes standardiseringskontor. Nå er han i PWC som leder av avdelingen IT Risk.
Fjørtoft forklarer endringen ved å ta utgangspunkt i sin egen hverdag:
- Etter GDPR kommer jeg til å eie mine egne data, sier han. - Ta et enkelt eksempel: Før jeg begynte i PWC hadde jeg Samsung-telefon, her fikk jeg Apple-telefon. Bare det å få ut kontaktene ut av den gamle telefonen og over i den nye var et herk. Med GDPR har forbrukeren sterkere rettigheter. Jeg kan forlange å få utlevert mine egne data på håndterlige tekniske formater. Dette heter dataportabilitet og åpner for en rekke nye forretningsmodeller og verdiøkende tjenester. Enhver kan få utlevert all informasjon han har gitt til en tilbyder på et såkalt ”machine readable format”, han kan til og med be om å få det utlevert til en tredjepart på sine vegne.
Men hva er nytten i det?
- La oss si at du er medlem av Trumf og Æ og bruker Vipps. Så kommer det en tredjepart, noe lignende Trivago i hotellbransjen, og du gir all informasjon om deg selv til denne. Da kan den parten gi deg noen veldig gode tilbud om Taco på fredagene fordi du pleier å kjøpe Taco på fredager, og på glutenfri kakemiks fordi du tidligere har vært interessert i både glutenfrie produkter og kakemiks. De kan da skreddersy et eget matprogram for deg. Du kan få det spesialtilpasset og agenten forhandler på dine vegne. Slike konsepter er drevet av dataportabilitet.
På samme måte som jeg kan forlange å få dataene utlevert kan jeg også trekke data jeg har gitt tilbake når som helst. Jeg kan forlange at de sletter alt, det er ”the right to be forgotten”. Dersom selskaper ikke forholder seg til dette, vel, da kan vi nok se de store bøtene. Som forbruker kan jeg forlange at min leverandør leverer all informasjon om meg til konkurrenten for så å slette det i egne registre.
Kan vi tenke oss slike nye forretningskonsepter innen HR også?
- Det blir nok ikke like mye nytt på HR-feltet. Det viktigste her er innsynsretten. Headhunterne er nervøse nå, og lurer på om de må utlevere notatene sine. Strengt tatt, så må de det, i hvert fall dersom du fører det inn i et kartotek og det er søkbart.
Datatilsynet har gitt en rekke bøter til bedrifter som driver ulovlig overvåkning av ansatte. Men bøtene er ikke så store?
- Det kan endre seg nå. De nye reglene er ganske harde og konkrete. Du skal vite hvilke opplysninger du har. Du skal vite hvorfor du har dem. Og du skal vite hjemmelen for å ha dem. I tillegg er det en del bedrifter som må ansette personvernombud.
- Enda flere plikter til dokumentasjon altså? Som om det ikke var nok permer stående i HR-sjefens hyller fra før?
- Jeg er enig i at dokumentasjonsveien ikke er den beste. Nå er det leverandører på markedet som skremmer styrer og bedriftsledere med det nye, høye bøtenivået. ”Kjøp vårt system eller risiker 100 millioner i bot”! Hadde de drevet på sånn i forbrukermarkedet hadde de blitt dømt for villedende markedsføring. Dersom du har en liten bedrift og oppfører deg anstendig, så blir du ikke hengt fordi du mangler et ark i permen. De enorme bøtene er beregnet på de store fiskene, som Facebook, Google og Ali Baba. Men Datatilsynet jo også fått en ny, svær revolver i beltet, de har jo det.
- Tror du de kommer til å bruke den?
- Akkurat det blir veldig spennende å se. Noe av poenget med GDPR er jo at ikke bare reglene, men også sanksjonene skal harmoneres. Dersom du gjør det samme overtrampet i Romania og Norge skal reaksjonen være nogenlunde lik. Slik sett er GDPR en vingeklipping av Datatilsynets selvstendighet. Og jeg håper ikke praksis fra land som Tyskland og Frankrike, med en hissig bøtepraksis, skal gjøre slutt på den mer tillitsbaserte norske reaksjonsmåten. Motivasjonen bør ligge et annet sted nemlig: Hva slags leverandør vil vi være overfor våre kunder? Hva slags arbeidsgiver vil vi være for våre ansatte? Det kommer mye dårlig HR ut av å skremme bedriftsledere. De ender med å kjøpe propritære løsninger for GDPR, i stedet for å internalisere GDPR i eksisterende HR-praksis.
- Så personvern bør innarbeides i alle eksisterende løsninger?
- Selvfølgelig. Det er det som gir endring. Det er slett ikke krav om noe eget GDPR-system. Men orden, det må du ha. Og du må vite hvorfor du samler informasjon om ansatte og hva du skal med den. Dårlige rådgivere ber deg skyte spurv med kanoner. Gir en rolls royce-løsning til en bedrift med 50 ansatte som ikke hadde trengt noe annet enn en liten opprydding og bedre rutiner.
- PHar dere mye pågang fra kunder på GDPR-spørsmål?
- Vi får mye spørsmål om nye forretningsmuligheter. Og mye om grenseoverskridende systemer, folk som har HR-leverandører i India eller USA. Så har vi en del ledere og styrer som blir skremt av bøtenivået og bare trenger en orientering. Vi jobber også med bransjenormer, blant annet med Finans Norge. Datatilsynet oppfordrer nemlig de enkelte bransjer til å lage felles normer, som så skal sendes til Datatilsynet for godkjenning.
Men vi er jo i Norge, ”the land of the skippertak”. I februar og mars kommer det til å eksplodere i etterspørsel på GDPR. Treffer du en GDPR-ekspert med mye ledig tid fra nå og ut over våren så er det sannsynligvis ikke en GDPR-ekspert.
Fjørtoft gleder seg til å jobbe med nye regler.
- Personvern kommer til å være høyt på agendaen i hele 2018. GDPR erstatter et direktiv som kom i 1994/1995, altså før vi slo Brasil i fotball-VM og før internett. Nå har vi fått en mulighet til å definere det beste personvernet og tilpasset vår tid.
Er Europa foran i klassen på personvernområdet?
- Ja, absolutt!. Europa og Kanada. Og Norge er langt framme i Europa. Jeg sitter i europeiske PWC-nettverk og merker forskjellen. De andre landene baler med problemstillinger vi gjorde oss ferdig med for mange år siden. Vi har løst en del av de store flokene løpende slik at vi nå har en relevant regulering. Tillitskulturen i Norge er uvurderlig, det er arven etter Gerhardsen, tradisjonen for samarbeid mellom ulike parter i arbeids- og næringsliv.
Fjørtoft minner om de to overordnede driverne bak det nye regelverket: A) Det skal være like vilkår for alle næringsdrivende. B) Det skal gi forbrukeren et friksjonsfritt liv som digital konsument.
- Det var på tide reglene ble fornyet, sier han. - Jeg har sittet i personvernnemda og tatt beslutninger etter lov om personopplysninger fra 2001, i en tid hvor behovet for personvern var et helt annet enn i dag. Den blir nå erstattet med en ny lov. Og EUs direktiv om personvern, det vi hittil har navigert etter, er fra 1994/1995 altså før vi slo Brasil i fotball-VM! Før internett! Og et teknologisk lysår fra dagens situasjon med giganter som Facebook, Amazon, Google og Ali Baba.
Og nettopp disse globale gigantene er nok bakgrunnen for giga-bøtene som forordningen gir opphav til. For en liten pølsebu holder det lenge med to forhold på plass: Det ene er orden. Det andre er anstendighet. For EUs nye, komplekse GPDR er bare skikk og bruk satt i system, mener Fjørtoft.
- Men jeg er litt desillusjonert, legger han til. – Noen leverandører skremmer med ”Tjue millioner, kjøp denne løsningen”. Det kommer en del dårlige løsninger på grunn av det høye bøtenivået. Men da har vi plutselig gjort oss avhengig av at Datatilsynet gir høye bøter. Hva hvis det går to år og de har ikke gitt en eneste bot? Hvis det er bøtene som driver motivasjonen? Da putter bedriftene GDPR i skuffen og gir en god dag i hele greia. Et positivt verdibasert personvern vil vare mye lenger. Jeg hadde et håp om at vi skulle få mer av det siste!