Digital virksomhet

IT er ikke lenger bare støttesystemer i virksomheten. Stadig flere virksomheter gjør det meste av sin kundedialog og sin produksjon gjennom IT-systemer. I Bouvet er vi mange rådgivere som hjelper kunder med å få virksomhet og systemer til å spille sammen. I denne bloggen deler vi tankene våre om dette.

EUs personvernforordning del 2: Hva din bedrift bør tenke på

Fra 2018 må bedriftene håndtere kundedata helt anderledes. Rekker dere å oppdatere alle systemene? Her får du en oppskrift på hvordan dere kan komme i gang med EUs personvernforordning.

Denne artikkelen er ført i pennen av Maren Sofie Sivertsen fra Kobra, og ble først publisert på nettstedet deres

Simen Sommerfeldt 2243-kopi

Simen Sommerfeldt, CTO i Bouvet Øst

Simen Sommerfeldt, CTO i Bouvet Øst, har vært engasjert sammen med oss i KOBRA på oppdrag gjennom 2015. Han er blant dem som har satt seg aller grundigst inn i EU personvernforordning, og hvilke konsekvenser den vil få for næringslivet. Simen har fulgt prosessen tett og diskutert med ledende jurister på dette fagfeltet. Dette er den andre artikkelen i en serie av tre hvor vi dykker ned i hva disse endringene betyr.

Del 1: Bakgrunnen for endringene
Del 2: Hva din bedrift bør tenke på

Del 3: En runde i krystallkula med EU-forordningen: Ni spådommer om markedet – og samfunnet

14. april 2016 stemte EU-parliamentet gjennom en ny forordning for bruk og håndtering av Personvern i EU: «General Data Protection Regulation» (GDPR).  Om du vil vite mer om hvorfor dette har kommet på agendaen, anbefaler vi deg å lese Del 1: Store konsekvenser for de fleste bedrifter.

Den første bloggartikkelen skapte så mye oppstyr at vi har fått bistand av advokat Eva Jarbekk hos Føyen Torkildsen til å kjøre en ekstra faktasjekk. Eva var den som fortalte Simen om forordningen i utgangspunktet, og har holdt oss løpende orientert om hva som skjer

Nye spilleregler for reklame på nettet

– Resultatet av disse endringene er en helt annen måte å håndtere kunder og data på. Først om halvannet år vet vi helt konkret hva dette betyr i praksis: Reglene vil bli gjenstand for tolkning, og vil kanskje bli litt justert etter tilbakemeldinger.

Tore Tennøe i Teknologirådet pekte på noe vesentlig

Tore Tennøe i Teknologirådet peker på noe vesentlig

Med disse forbeholdene kan vi uansett slå fast at annonsørmarkedet vil måtte endre arbeidsmåte. Vi går nå fra personalisert annonsering av typen ”Se! Her er de støvlene du så på Zalando for tre uker siden”, og returnere til tilfeldig, upersonalisert reklame uten mulighet for å spore, samle og selge data om kunden. Personalisert reklame vil måtte ha et mye klarere avtalegrunnlag med brukerne enn i dag.

Dette kan bety at internettmarkedsføring slik vi kjenner det er i ferd med å trekke sitt siste åndedrag. Når den nye EU-forordningen trer i kraft, vil de ha et betydelig svekket arsenal for å nå ut til massemarkedene – annonseringsbyråene vil få et forklaringsproblem når effekten og verdien av annonseringen sin reduseres.

Mange bedrifter arbeider derfor nå med å klargjøre brukeravtalene med kundene slik at etablert praksis kan fortsette. At akkurat denne bransjen møter utfordringer vil kanskje ikke den jevne forbruker fortvile over, men som kjøper av denne type tjenester er det grunn til å rette fokus andre steder for å gjøre seg fortjent til oppmerksomhet hos sluttkunden.

Det vi vet helt sikkert er at ”alle” kommer til å bruke tid og krefter på å finne nye måter å nå ut til kundene på, og erfaringsmessig er det de som er mest kreative når det kommer til innovasjon, digital transformasjon og kundeinnsikt som ligger best an. Undersøkelser viser dessuten at satsning på kundetilfredshet og kundeopplevelse skaper gode, langvarige kundeforhold.

Du vil ikke ha råd til å ikke følge reglene

Den nye forordningen skal etter planen stemmes gjennom i første halvår 2016. Så vil den trå i kraft etter to år. Tidligere har det vært et direktiv, men nå endres dette til en forordning – det skal inn i lovverket til de enkelte land. Det er ikke noe valg der, forklarer Simen.

Det har vært tildels sterke reaksjoner

Det har vært tildels sterke reaksjoner

– Slik det ser ut nå vil det ikke være mulig å tenke at dette treffer ikke meg. Dette vil gjelde de fleste bedrifter i Norge, og ikke nok med det. Dette vil gjelde alle som har kunder i EU. Så til og med Google, Ebay og Microsoft må følge dette. Firmaer utenfor EU som har kunder innenfor, må ha en juridisk representant i EU som myndighetene kan kontakte, sier Simen.

– Mye av grunnen til at det har blitt så mye snakk om denne forordningen. er konsekvensene av å ikke etterfølge den. En bot kan være ødeleggende: Bedrifter vil bli ilagt bøter på opp til 4% av global brutto omsetning per tilfelle. Tidligere var den største boten en kunne få i Norge 10G (ca. 890.000 kroner p.t.).  Nå er maksboten 20 millioner euro, per tilfelle. Så hvis du har et case i mars og et i juli vil du kunne få to bøter, forklarer Simen.

Større krav til sikkerhet, revurdering av Cloud og krav om sertifisering

Større krav til generell IT-sikkerhet: ”Du må melde inn ”breaches”, altså avvik til Datatilsynet innen 72 timer etter det er oppdaget. Det er en veldig kort frist. I alvorlige tilfeller må bedriften også melde om avviket til de personene som det er frastjålet data om. Så de fleste må jazze opp sikkerheten sin ganske mye ”, forklarer Simen

Klassifisering av data gir nye forretningsmuligheter for skyløsninger. Det blir satt strenge krav til at data som kan regnes som sensitive blir behandlet varsomt. På grunn av endringene som omhandler USA sitt innsyn i data (Safe Harbor og Privacy Shield, se intervju med Jarbekk og Sommerfeldt i Computerworld) vil det kunne komme en ny vår for lokale driftsleverandører. Det vil bli mye vanskeligere å kunne oppbevare din data i en skyløsning der selv teknikere fra USA kan ha tilgang. 

Offentlige innkjøpsregler vil ha med krav om sertifisering ”Sertifisering betyr at en må bygge kompetanse, gjøre om på rutiner og skaffe mye ny kunnskap. EU forordningen er på ca 200 sider. Jeg har lest den. Den treffer forskjellige bransjer og bedrifter på ulik måte, så det krever litt innsats å forstå hvordan din bedrift må agere. En sertifisering viser du har dokumentert etterfølgelse av alle de relevante påleggene, du har at rutiner i orden, at varsling stemmer, policy ovenfor kunder, etc.»

Alle må ikke sertifiseres, forklarer Simen. Men alle må følge reglene, og det å ha en sertifisering vil kunne minske bøtenivået – fordi firmaet ditt viser at dere har gjort en innsats for å følge reglene

Kundens tidsalder – også når det gjelder personvern

Dine kunder får økte rettigheter. De skal kunne kreve innsyn i all informasjon du har om dem. De skal kunne kreve sletting eller flytting av informasjonen. Og hvis du flytter eller deler deres opplysninger med en tredjepart må du be om lov, og informere dem. De skal også kunne nekte automatisk saksbehandling dersom de er uenig i faktagrunnlageet for en beslutning. Videre får kundene ganske sterke klagemuligheter.

kundens tidsalder

Du bør ikke vente – og slik kan du komme i gang

For noen kan dette innebære store omveltninger i forretningsmodellen. For andre vil det innebære omskriving av systemer og avtaler. Det er foreløpig usikkert hvordan dette kommer til å påvirke de forskjellige bransjene, men det betyr ikke at du bør vente. Bouvet bistår i dag flere kunder med forberedelser, og jeg fikk Simen til å sette opp en liste over typiske gjøremål:

  • Få noen som kjenner forretningen både merkantilt og teknisk til å sette seg inn i forordningen
  • Gjør dere også kjent med hvilke nåværende lover og regler dere er underlagt. Der hvor forordningen kommer i konflikt med f.eks. regnskaps- eller arkivloven vil sistnevnte som regel ha for-rang
  • Gjør en vurdering av hvordan forordningen vil påvirke dere. Det kan lønne seg å tenke i to dimensjoner her: Forretning/kommunikasjon, og teknisk
  • Identifisér hvilke endringer dere må gjøre i systemer for å tilfredsstille forbrukerens nye krav (innsyn, avledet bruk, tilsagn, sletting, flytting)
  • Påbegynn en dokumentasjon av hvordan dere vil etterleve forordningen. Dere kan bli avkrevd en slik fra datatilsynet
  • Der hvor mulig, finn en en bransjetolkning (I følge EU vil slike komme etterhvert). Søk opp et bransjeforum der dere drøfter mulige tolkninger sammen
  • Klassifisér dataene deres og se om dere kan spore endringer på dem
  • Finn ut hvor data er lagret og hvem som har ansvar. Gå gjennom alle Cloud-avtaler og se om de holder vann mht. sensitive data
  • Se hvilke sikkerhetstiltak dere har. Iverksett tiltak som kildekodegjennomgang og penetrasjonstester om nødvendig. Sørg for at dere har grunnleggende sikkerhet (infrastruktur, patching, brannmurer, tiltak mot social engineering) på plass, gjerne med et ISO 27.000-lignende system
  • Et godt tips er å få på plass IAM (Identity/Access Management) og logging på tvers av systemer dersom dere ikke har det allerede. Det vil være nødvendig for å oppdage såkalte “Kill chains” ved sikkerhetsinnbrudd
  • Kjør Risiko- og Sårbarhetsnalyser på systemer som håndterer sensitive data (Dette blir et krav under forordningen)
  • Få skikk på leverandørene – se om de følger regelverket. De er en forlengelse av firmaet ditt i denne sammenhengen
  • Sjekk nåværende prosjekter og juster dem i tråd med forordningen. Ikke start på noe i dag som vil være ulovlig om to år!

Det er ingen grunn til å få helt panikk, men gjør deg kjent med regelverket og finn ut hvordan det vil påvirke deg. På enkelte områder vil vi måtte tenke nytt, men det stiller bare krav til at vi må være innovative og nytenkende. Og til syvende og sist bikker forordningen maktbalansen over til oss forbrukere i stedet for de som selger informasjon om oss. Og det må jo være en God Ting for oss alle sammen!

keep-calm-it-will-happen-14

3 kommentarer om “EUs personvernforordning del 2: Hva din bedrift bør tenke på

  1. Bra dere tar opp dette! Her vil mange kunne bli overrasket. Liten oppfølging til siste punktet – nye prosjekter bør tenke personvern fra konseptfase og gjennom hele utviklingsløpet. (Privacy by Design – prinsippene gir noen retningslinjer i så måte). Cluet er å få dette forankeret i organisasjonen..

    1. Hei Vegard. Takk for hyggelig tilbakemelding. Og ja: Fremover vil det koste dyrt om en ikke tenker personvern i alle faser av prosjektene.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Digitalisation is not a IT project

Something is happening in the executive management teams these days, they are looking to re-invent their business models using information..

Det vanskelige samtykket

Alle snakker om det, mange gjør noe med det og noen vil alltid prøve snarveier. Men ærlighet vil, som alltid, vare..

Den selvkjørende bilen kommer fort

Jeg er på den 23. verdenskongressen for intelligente transportsystemer. Alle snakker om selvkjørende biler, busser og tog. På demonstrasjonsområdene står..

Tenkehatten Plato

Slå på kreativiteten, folkens!

Her forleden hadde vi besøk av hjerneforsker Balder Onarheim fra Danmarks tekniske universitet. Han hadde med seg en tenkehatt med..

Hva ser du?

Kvalitative undersøkelser gir et annet perspektiv enn kvantitative. Ofte avsløres unike bruksmåter og uregelmessigheter. Ser du litt nøyere etter, kan..

Hva skjer på intranett-fronten?

Dette spørsmålet stilte jeg mine flinke kolleger på vårt intranett, og her er svarene jeg fikk: Flere spesialiserte applikasjoner For..

IT years are like dogs years

One of the characteristics of the IT industry is that time works differently for us. This is challenging and fun,..

OFFF da: Barcelona 2016 del 2

Konferansetid er tid for inspirasjon og faglig påfyll, men kanskje vel så mye handler det om forbrødring med gode kolleger…

OFFF Barcelona 2016 del 1

Europas mest inspirerende konferanse innen digitale medier, OFFF,  leverte varene. Over tre innlegg skal Jonas Laberg og jeg forsøke å gjenskape stemningen. Hvem..

Kundeopplevelse og energityver

Arbeid med kundeopplevelse ligner mer på maraton enn på en 100-meter – det trengs stamina for å oppnå resultater. Likevel..

Hvordan snakke med sinte kunder

Greier du som kundebehandler å snu humøret til en irritert kunde er resultatet lojalitet som varer livet ut. Sier du de..

Digital virksomhet

IT er ikke lenger bare støttesystemer i virksomheten. Stadig flere virksomheter gjør det meste av sin kundedialog og sin produksjon gjennom IT-systemer. I Bouvet er vi mange rådgivere som hjelper kunder med å få virksomhet og systemer til å spille sammen. I denne bloggen deler vi tankene våre om dette.