Du trodde kanskje at dette med GDPR og personvern var noe vi holdt på med for noen år tilbake? Da har du sannsynlig vis gått i fella, ute av syne ute av sinn? Personvern og databeskyttelse er i dag mer relevant enn noensinne. Med den digitale tidsalderen og den økende mengden personopplysninger som utveksles på nettet, er det viktigere enn noensinne å sikre at disse opplysningene behandles på en lovlig og ansvarlig måte. General Data Protection Regulation (GDPR) har som formål å beskytte personopplysninger og gi en harmonisert tilnærming til personvern i hele EU. Men hvor effektiv er GDPR egentlig? Er det en reell risiko for at organisasjoner får bøter for brudd på personvernreglene? Svaret er ja, og det er både lovbrudd begått med og uten bedre viten som utgjør en betydelig trussel.
Bøter for lovbrudd begått med bedre viten
En rekke kjente selskaper har allerede fått erfare konsekvensene av brudd på GDPR-reglene. For eksempel ble Google bøtelagt med 50 millioner euro av det franske personvernbyrået CNIL for manglende informasjon og samtykke knyttet til personlig tilpasset annonsering. Også British Airways og Marriott International ble ilagt betydelige bøter for brudd på sikkerhetskravene i GDPR etter datainnbrudd. Disse sakene viser tydelig at selv store og veletablerte organisasjoner ikke er immune mot konsekvensene av å ignorere personvernreglene.
Lovbrudd begått uten bedre viten
Ikke alle lovbrudd mot personvernlovgivningen er resultatet av bevisst overtredelse. Det finnes også mange tilfeller der organisasjoner, spesielt mindre virksomheter, ikke er fullt klar over eller forstår kravene i GDPR. Dette kan være manglende bevissthet om samtykkekrav, utilstrekkelige sikkerhetstiltak, eller feilaktig behandling av sensitive personopplysninger. Slike lovbrudd kan skyldes mangel på kunnskap eller ressurser til å implementere adekvate personvernpraksiser. Likevel er ikke ignoranse en unnskyldning, og organisasjoner er likevel ansvarlige for å sikre at de overholder lovgivningen.
Konsekvensene av GDPR-brudd
Bøtene som pålegges for brudd på GDPR kan være betydelige og utgjøre en økonomisk byrde for organisasjoner. Størrelsene på bøtene kan variere avhengig av alvorlighetsgraden av bruddet, omfanget av overtredelsene, og den økonomiske kapasiteten til den ansvarlige virksomheten. I tillegg til økonomiske konsekvenser kan brudd på GDPR også føre til tap av omdømme, tap av kunder og rettslige saker.
Viktigheten av å etterleve GDPR
Etterlevelse av GDPR er ikke bare viktig for å unngå bøter og rettslige konsekvenser. Det handler også om å vise respekt for personvernet til enkeltpersoner og opprettholde tilliten til virksomheten din. Når organisasjoner tar personvern på alvor, bygger de et fundament av tillit hos kundene og samfunnet generelt. Dette kan gi en konkurransefordel og styrke forretningsrelasjoner på lang sikt.
Jeg ser det nesten ukentlig, folk som ikke forstår eller ikke vil ta hensyn til lovene, fordi det skaper vanskeligheter i den daglige jobben, og fordi det er så mye enklere å bare gjøre det slik vi alltid har gjort. MEN her ligger problemet. Selv om du har gjort alle ting riktig når du dokumenterte hvordan du hadde tenkt å håndtere dataene så betyr ikke det at det blir gjort riktig. Har du noen gang sendt fra deg eller mottatt en Excel-fil med navn, e-post, telefon, adresseinformasjon og andre kunde/personopplysninger? Var transporten av dataene tilstrekkelig sikret? Var dataene kryptert, lagret sikkert og kan du garantere at ingen har endret dem, videresendt dem før du fikk slettet dem? Er du sikker på at du har slettet alle data på disken, i e-postboksen eller ligger de på droppbox eller i andre skytjenester?
En reell risiko for brudd på GDPR og andre strenge regler for bruke av personopplysninger
GDPR-brudd utgjør en reell risiko for organisasjoner, uavhengig av størrelse eller bransje. Både brudd begått med og uten bedre viten kan få alvorlige konsekvenser, inkludert økonomiske bøter og omdømmetap. Derfor er det viktig at organisasjoner tar personvern på alvor, setter i verk nødvendige tiltak for å etterleve GDPR-kravene og opprettholder tillit hos kunder og samfunnet. Ved å implementere robuste personvernpraksiser kan organisasjoner sikre at personopplysninger behandles på en lovlig, ansvarlig og transparent måte.
Viktigheten av systemstøtte kan ikke undervurderes når det gjelder å oppnå etterlevelse av GDPR og forhindre at brukere eller ansatte blir tvunget til å begå lovbrudd. Manglende system og systematikk kan skape usikkerhet rundt hvordan personopplysninger skal håndteres, og det kan også føre til feil eller tilfeldig praksis som kan resultere i brudd på personvernreglene.
Systemstøtte er nødvendig, manuelle rutiner er til for å brytes
Et godt utformet og implementert system kan bidra til å sikre at alle ansatte er klar over (og må behandle data iht.) de riktige prosedyrene for behandling av personopplysninger. Dette inkluderer å ha klare retningslinjer og prosedyrer for innsamling, lagring, sletting og deling av personopplysninger. Systemet bør også inkludere en tydelig definert arbeidsflyt for håndtering av personopplysninger, slik at alle trinnene blir fulgt i samsvar med GDPR-kravene.
Videre kan systemstøtte bidra til å automatisere visse prosesser, for eksempel innhenting og dokumentasjon av samtykke, håndtering av forespørsler fra enkeltpersoner om innsyn eller sletting av personopplysninger, og varsling av sikkerhetsbrudd. Dette reduserer risikoen for menneskelige feil og sikrer at personopplysninger blir behandlet på en konsistent og korrekt måte i tråd med GDPR.
Ikke bare vil en effektiv systemstøtte bidra til å forhindre lovbrudd, men den vil også øke effektiviteten og produktiviteten for organisasjonen som helhet. Ansatte vil ha tilgang til verktøy og ressurser som hjelper dem med å håndtere personopplysninger på en sikker og lovlig måte, og de vil føle seg trygge i sin rolle når det gjelder personvern.
Derfor er det viktig for organisasjoner å investere i tilstrekkelig systemstøtte som støtter opp under etterlevelse av GDPR. Dette kan omfatte implementering av pålitlige databehandlingsverktøy, opplæring av ansatte i bruken av disse verktøyene, og jevnlige evalueringer og oppdateringer av systemet for å sikre at det fortsetter å være i tråd med gjeldende regelverk og beste praksis.
5 tips for å ta kontrollen med sikkerheten
Gjennom riktig systemstøtte kan organisasjoner legge til rette for en kultur med etterlevelse av personvernreglene, og sikre at brukere/ansatte ikke blir tvunget til lovbrudd på grunn av manglende system og systematikk. Dette vil bidra til å opprettholde tillit hos kunder, beskytte personopplysninger og unngå unødvendige juridiske og økonomiske konsekvenser.
Har du noen gang tenkt over hvor mange datasystemer dine personopplysninger er lagret i hos bankforbindelsen din, og hvor sannsynlig det er at dine persondata er ute på vandring?
Du er sannsynlig vis registrert med personopplysninger i:
- Kundehåndteringssystem (CRM)
- Kontosystem
- Lånesystem
- Betalingssystemer
- Sikkerhetsovervåkingssystemer, for eksempel logger, overvåkingskameraer og tilgangskontrollsystemer
- Kommunikasjonssystemer som e-post, meldingsplattformer, kundeserviceportaler og telefonisystemer
- Nettsider med skjemaer eller interaktive elementer der besøkende kan legge igjen personopplysninger
- Leadgenereringssystemer, banken samarbeider med forsikring, eiendomsmegling, bilselgere, selgere av andre kapitalvarer
Her kan du også forevente at banken har delt dine personopplysninger
I arbeidet med tjenesteleverandører og samarbeidsparter kan bankene dele og samarbeidsparer lagre dine personopplysninger. De vanligste er:
IT-leverandører (som oss i Headshed): Disse kan inkludere leverandører av programvare, infrastruktur, nettverkstjenester og datasentre.
Skytjenesteleverandører: Dette kan omfatte leverandører av skybaserte tjenester som datalagring, databehandling og programvare som en tjeneste (SaaS).
Markedsføringsbyråer: Selskaper som tilbyr markedsførings- og reklametjenester, inkludert digital markedsføring, annonsering, kampanjehåndtering og markedsundersøkelser.
Databehandlere (som oss i Headshed): Tjenesteleverandører som behandler personopplysninger på vegne av banken, for eksempel kundebehandling, databehandling eller analyse.
Betalingsleverandører: Selskaper som tilbyr betalingsløsninger, inkludert kortnettverk, betalingsgatewayer eller andre betalingstjenester.
Eiendomsmeglere: Ved tilbud av eiendomstjenester som eiendomsmegling eller eiendomsfinansiering, kan samarbeidspartnere inkludere eiendomsmeglere eller eiendomskonsulenter.
Investeringsselskaper: Ved tilbud av investeringstjenester kan banker samarbeide med investeringsselskaper, porteføljeforvaltere eller verdipapirforetak.
Forsikringsselskaper: Ved salg eller administrasjon av forsikringsprodukter kan samarbeidspartnere være forsikringsselskaper eller forsikringsmeglerfirmaer.
Kredittvurderingsbyråer: Selskaper som leverer kredittvurderingstjenester og kredittinformasjon om enkeltpersoner eller bedrifter.
Kompleksitet og omgåelse av hindringer
Jo mer kompleks systemene er og jo vanskeligere det er å få jobben gjort vil vi som mennesker finne muligheter for å omgå sikkerhet og hindringer. Tilbake til Excel arket - finnes det en knapp for eksport av data, så blir den brukt! Finnes det muligheten for å utveksle denne filen på en enkel måte (e-post), ja så blir den brukt. OG finnes det noen som kan tenkes å ha nytte av dette innholdet, ja da vil de forsøke å få tak i innholdet.
Det verste er jo at det svært ofte er i egen virksomhet at det skjer ting som med eller uten bedre viten fører til brudd på GDPR.