En rekke kjente selskaper har allerede fått erfare konsekvensene av brudd på GDPR-reglene. For eksempel ble Google bøtelagt med 50 millioner euro av det franske personvernbyrået CNIL for manglende informasjon og samtykke knyttet til personlig tilpasset annonsering. Også British Airways og Marriott International ble ilagt betydelige bøter for brudd på sikkerhetskravene i GDPR etter datainnbrudd. Disse sakene viser tydelig at selv store og veletablerte organisasjoner ikke er immune mot konsekvensene av å ignorere personvernreglene.
Ikke alle lovbrudd mot personvernlovgivningen er resultatet av bevisst overtredelse. Det finnes også mange tilfeller der organisasjoner, spesielt mindre virksomheter, ikke er fullt klar over eller forstår kravene i GDPR. Dette kan være manglende bevissthet om samtykkekrav, utilstrekkelige sikkerhetstiltak, eller feilaktig behandling av sensitive personopplysninger. Slike lovbrudd kan skyldes mangel på kunnskap eller ressurser til å implementere adekvate personvernpraksiser. Likevel er ikke ignoranse en unnskyldning, og organisasjoner er likevel ansvarlige for å sikre at de overholder lovgivningen.
Bøtene som pålegges for brudd på GDPR kan være betydelige og utgjøre en økonomisk byrde for organisasjoner. Størrelsene på bøtene kan variere avhengig av alvorlighetsgraden av bruddet, omfanget av overtredelsene, og den økonomiske kapasiteten til den ansvarlige virksomheten. I tillegg til økonomiske konsekvenser kan brudd på GDPR også føre til tap av omdømme, tap av kunder og rettslige saker.
Etterlevelse av GDPR er ikke bare viktig for å unngå bøter og rettslige konsekvenser. Det handler også om å vise respekt for personvernet til enkeltpersoner og opprettholde tilliten til virksomheten din. Når organisasjoner tar personvern på alvor, bygger de et fundament av tillit hos kundene og samfunnet generelt. Dette kan gi en konkurransefordel og styrke forretningsrelasjoner på lang sikt.
Jeg ser det nesten ukentlig, folk som ikke forstår eller ikke vil ta hensyn til lovene, fordi det skaper vanskeligheter i den daglige jobben, og fordi det er så mye enklere å bare gjøre det slik vi alltid har gjort. MEN her ligger problemet. Selv om du har gjort alle ting riktig når du dokumenterte hvordan du hadde tenkt å håndtere dataene så betyr ikke det at det blir gjort riktig. Har du noen gang sendt fra deg eller mottatt en Excel-fil med navn, e-post, telefon, adresseinformasjon og andre kunde/personopplysninger? Var transporten av dataene tilstrekkelig sikret? Var dataene kryptert, lagret sikkert og kan du garantere at ingen har endret dem, videresendt dem før du fikk slettet dem? Er du sikker på at du har slettet alle data på disken, i e-postboksen eller ligger de på droppbox eller i andre skytjenester?
GDPR-brudd utgjør en reell risiko for organisasjoner, uavhengig av størrelse eller bransje. Både brudd begått med og uten bedre viten kan få alvorlige konsekvenser, inkludert økonomiske bøter og omdømmetap. Derfor er det viktig at organisasjoner tar personvern på alvor, setter i verk nødvendige tiltak for å etterleve GDPR-kravene og opprettholder tillit hos kunder og samfunnet. Ved å implementere robuste personvernpraksiser kan organisasjoner sikre at personopplysninger behandles på en lovlig, ansvarlig og transparent måte.
Viktigheten av systemstøtte kan ikke undervurderes når det gjelder å oppnå etterlevelse av GDPR og forhindre at brukere eller ansatte blir tvunget til å begå lovbrudd. Manglende system og systematikk kan skape usikkerhet rundt hvordan personopplysninger skal håndteres, og det kan også føre til feil eller tilfeldig praksis som kan resultere i brudd på personvernreglene.
Et godt utformet og implementert system kan bidra til å sikre at alle ansatte er klar over (og må behandle data iht.) de riktige prosedyrene for behandling av personopplysninger. Dette inkluderer å ha klare retningslinjer og prosedyrer for innsamling, lagring, sletting og deling av personopplysninger. Systemet bør også inkludere en tydelig definert arbeidsflyt for håndtering av personopplysninger, slik at alle trinnene blir fulgt i samsvar med GDPR-kravene.
Videre kan systemstøtte bidra til å automatisere visse prosesser, for eksempel innhenting og dokumentasjon av samtykke, håndtering av forespørsler fra enkeltpersoner om innsyn eller sletting av personopplysninger, og varsling av sikkerhetsbrudd. Dette reduserer risikoen for menneskelige feil og sikrer at personopplysninger blir behandlet på en konsistent og korrekt måte i tråd med GDPR.
Ikke bare vil en effektiv systemstøtte bidra til å forhindre lovbrudd, men den vil også øke effektiviteten og produktiviteten for organisasjonen som helhet. Ansatte vil ha tilgang til verktøy og ressurser som hjelper dem med å håndtere personopplysninger på en sikker og lovlig måte, og de vil føle seg trygge i sin rolle når det gjelder personvern.
Derfor er det viktig for organisasjoner å investere i tilstrekkelig systemstøtte som støtter opp under etterlevelse av GDPR. Dette kan omfatte implementering av pålitlige databehandlingsverktøy, opplæring av ansatte i bruken av disse verktøyene, og jevnlige evalueringer og oppdateringer av systemet for å sikre at det fortsetter å være i tråd med gjeldende regelverk og beste praksis.
5 tips for å ta kontrollen med sikkerheten
Gjennom riktig systemstøtte kan organisasjoner legge til rette for en kultur med etterlevelse av personvernreglene, og sikre at brukere/ansatte ikke blir tvunget til lovbrudd på grunn av manglende system og systematikk. Dette vil bidra til å opprettholde tillit hos kunder, beskytte personopplysninger og unngå unødvendige juridiske og økonomiske konsekvenser.
Har du noen gang tenkt over hvor mange datasystemer dine personopplysninger er lagret i hos bankforbindelsen din, og hvor sannsynlig det er at dine persondata er ute på vandring?
Du er sannsynlig vis registrert med personopplysninger i:
I arbeidet med tjenesteleverandører og samarbeidsparter kan bankene dele og samarbeidsparer lagre dine personopplysninger. De vanligste er:
IT-leverandører (som oss i Headshed): Disse kan inkludere leverandører av programvare, infrastruktur, nettverkstjenester og datasentre.
Skytjenesteleverandører: Dette kan omfatte leverandører av skybaserte tjenester som datalagring, databehandling og programvare som en tjeneste (SaaS).
Markedsføringsbyråer: Selskaper som tilbyr markedsførings- og reklametjenester, inkludert digital markedsføring, annonsering, kampanjehåndtering og markedsundersøkelser.
Databehandlere (som oss i Headshed): Tjenesteleverandører som behandler personopplysninger på vegne av banken, for eksempel kundebehandling, databehandling eller analyse.
Betalingsleverandører: Selskaper som tilbyr betalingsløsninger, inkludert kortnettverk, betalingsgatewayer eller andre betalingstjenester.
Eiendomsmeglere: Ved tilbud av eiendomstjenester som eiendomsmegling eller eiendomsfinansiering, kan samarbeidspartnere inkludere eiendomsmeglere eller eiendomskonsulenter.
Investeringsselskaper: Ved tilbud av investeringstjenester kan banker samarbeide med investeringsselskaper, porteføljeforvaltere eller verdipapirforetak.
Forsikringsselskaper: Ved salg eller administrasjon av forsikringsprodukter kan samarbeidspartnere være forsikringsselskaper eller forsikringsmeglerfirmaer.
Kredittvurderingsbyråer: Selskaper som leverer kredittvurderingstjenester og kredittinformasjon om enkeltpersoner eller bedrifter.
Jo mer kompleks systemene er og jo vanskeligere det er å få jobben gjort vil vi som mennesker finne muligheter for å omgå sikkerhet og hindringer. Tilbake til Excel arket - finnes det en knapp for eksport av data, så blir den brukt! Finnes det muligheten for å utveksle denne filen på en enkel måte (e-post), ja så blir den brukt. OG finnes det noen som kan tenkes å ha nytte av dette innholdet, ja da vil de forsøke å få tak i innholdet.
Det verste er jo at det svært ofte er i egen virksomhet at det skjer ting som med eller uten bedre viten fører til brudd på GDPR.