Det sier advokat i Advokatfirmaet Alver AS, Marit Stubø Jorde, som er ekspert på regelverket om behandling av personopplysninger. Personvern har blitt et veldig sentralt felt innenfor det som gjerne omtales som «compliance», hvor målet er å sikre lovlig, etisk og korrekt drift av en virksomhet.
Jorde har i hele sin 13 år lange yrkeskarriere som advokat gitt råd til bedrifter og offentlig virksomhet om etterlevelse av lover og regler som skal ivareta enkeltmenneskets rett til vern om sitt privatliv. Hun sier:
- Som privatpersoner er vi prisgitt at virksomhetene vi er i kontakt med, enten det er arbeidsgiveren vår, kommunen, nettbutikken, banken, sykehuset, idrettsklubben eller nettavisen tar vårt personvern på alvor og behandler de personopplysningene vi oppgir med respekt for vårt privatliv. Vi lever i en virkelighet hvor opplysninger om oss er overalt. De fleste av oss er ikke klar over hvor mye personlig informasjon vi gir fra oss i løpet av en vanlig dag.
- Kan du gi et eksempel?
- Se for deg at du sitter med kaffekoppen og leser avisen. I løpet av de millisekundene det tar å laste inn nettsiden har det allerede foregått en budrunde om deg hvor vinneren får vise deg en diamantring eller en ulltrøye i strl. M. Hvor høyt noen er villige til å by bestemmes av en rekke faktorer, blant annet hvor sannsynlig det er at du vil være påvirkelig til å foreta et kjøp, fortsetter Jorde.
- Har du en generell oppfordring til virksomheter som behandler personopplysninger?
- Jeg mener at alle virksomheter må være bevisst sitt ansvar for å ta vare på de opplysningene som de er betrodd. Virksomheten har plikt til å sørge for at opplysninger blir anvendt utelukkende til de formål de er innhentet for og i tråd med den enkeltes rimelige forventninger.
Et sentralt ledd i dette er å gi tydelig informasjon til kunder, ansatte og andre som registreres i virksomhetens digitale løsninger og systemer, slik at det er mulig for den enkelte og for tilsynsmyndighetene å etterprøve at personopplysninger ikke blir benyttet til formål som går utover det som er legitimt, fortsetter advokat Jorde.
- Hvordan oppfatter du ståa hos virksomheter her i Innlandet?»
- Mitt inntrykk er nok at mange virksomheter har en del å gå på når det gjelder å oppfylle dokumentasjonsforpliktelser som følger direkte av regelverket. Noen ganger ser jeg personvernerklæringer på nettsider som ved første øyekast ser tilforlatelige ut, men hvor jeg ganske raskt forstår at her er det ingen reell bevissthet om hvilke krav og hvilket ansvar virksomheten er underlagt.»
- Hvordan kan en virksomhet komme raskt og enkelt opp å stå?
- Personvernregelverket er et regelverk som det kan være vanskelig å sette seg inn i. Som advokat som lever av å gi råd til virksomheter om etterlevelse av disse reglene, har jeg åpenbart en egeninteresse av å hevde at de fleste virksomheter vil ha nytte av å rådføre seg med en ekspert på feltet. Samtidig kan jeg stå helt rakrygget å si at jeg har til gode å se en virksomhet håndtere personverncompliance på en overbevisende måte uten å ha hatt noen form for juridisk bistand fra en som har inngående kjennskap til regelverket.
- Jeg mener den raskeste og enkleste måten å komme opp å stå på er ved å engasjere en rådgiver som har kjennskap til feltet. Dette kan faktisk også være den billigste løsningen, fordi det er ressurskrevende å sette seg inn i dette fra scratch, selv for en jurist.
- Kan man bruke KI til å bli compliant?
- Det kan åpenbart være mye å hente på å bruke kunstig intelligens i arbeid med compliance. Virksomheter kan også kjøpe egne lisenser til programvare som genererer juridisk dokumentasjon, eksempelvis personvernerklæringer og interkontrolldokumentasjon.
Det er likevel viktig å huske på at en god output fra disse verktøyene krever en god input. Dersom man ikke har en bevissthet omkring hvilke krav som skal etterleves og hva som er hensynene bak de ulike kravene, vil man komme til kort – selv med et godt verktøy. Man må også huske på at dette er noe som skal forvaltes og vedlikeholdes over tid i en verden og et marked som er i stadig endring.
- Hva kan en virksomhet få ut av å ha fokus på personvern?
- En ofte underkommunisert gevinst er at man inngir tillitt til kunder og ansatte ved å vise at man har fokus på personvern, og at det igjen kan skape et konkurransefortrinn i markedet.
Leverandører som har som ambisjon å tiltrekke seg store, seriøse aktører, vil raskt erfare at disse kundene stiller krav til personvern og dokumentasjon, slik at man «tvinges» til å ha orden på dette.
Personvernregelverket har også et tydelig ris bak speilet idet det åpner for at tilsynsmyndighetene kan gi svært høye bøter ved grove brudd på regelverket.
Ellers mener jeg at man ikke skal undervurdere go’følelsen det gir styret og daglig leder å vite at man har kontroll på etterlevelse av lover og regler.
- Hva ville du være mest bekymret for som daglig leder eller styremedlem i en virksomhet?
- Å stå uten noen dokumentasjon på databehandlingen eller uten databehandleravtaler på plass i et tilfelle der virksomheten havner i Datatilsynets søkelys, typisk i forbindelse med et datainnbrudd, eller der noen har inngitt en klage, avslutter hun.
