De nye personvernreglene bør være sengelektyre for alle ledere

– De nye reglene begrenser ikke nødvendigvis tilgangen på kundedata. Men hvordan du behandler dem sier Kenneth Westad, sikkerhetsrådgiver i Capra Consulting.

– Det handler om teknologi, men kan ikke løses av teknologer alene. Det handler om juss, men kan ikke løses av advokater alene. Dette er en dialog som må føres i styret og ledelsen. Det er en prosess som må opp fra datarommet og inn på styrerommet. Det er de som vil bli holdt ansvarlig, sier Kenneth Westad, sikkerhetsrådgiver i Capra Consulting.

Ett år før EUs personvernlov trer i kraft er det på tide å ruste opp kontrollen med kundeinformasjonen. Trusselen om store bøter ved brudd på regelverket er vi blitt gjort godt kjent med. Men kan det ligge større fordeler for bedriftene i å oppnå samsvar med den nye personvernloven?

Om ett år trer EUs General Data Protection Regulation (GDPR) i kraft. Den erstatter og innskjerper de europeiske personopplysningslovene. I tillegg til at bøtene blir betraktelig høyere, blir enkeltpersoners rett til å få vite hva tjenestetilbydere vet om dem enda sterkere. Det kreves vesentlig mer dokumentasjon fra bedriftens side om kontroll, rutiner, lagring og sikkerhetsevalueringer.

– Det er ikke lenger nok å gjemme seg bak en ringperm med policy dokumenter, såkalte «paper shields». Ser man på detaljene i lovverket, må dette fungere i praksis. Det må bygges inn i teknologien, sier Westad.

I dag er de fleste bedrifter avhengig av kundedata for å være konkurransedyktig. Kundeinnsikten blir en viktig asset fremover. Men da er du nødt til å navigere riktig innenfor sikkerhet og personvern, mener Westad.

– De nye reglene begrenser ikke nødvendigvis tilgangen på kundedata. Men hvordan du behandler dem, sier han.

Strategisk bruk av kundeinformasjon blir stadig viktigere for å sikre markedsposisjon og vekst. Kundenes valgfrihet er blitt større, så markedsføringen må bli mer målrettet enn tidligere. Sammenstilling av kundeopplysninger fra ulike kilder, tilpassede kundeprofiler og skreddersydde tilbud, vil bidra til å sikre lojale kunder, god kundetilfredshet og vekst for virksomheten.

– Denne type markedsføring må samtidig gjøres slik at kunden ikke føler seg overvåket eller utnyttet. En kunde som føler seg overvåket eller ikke opplever en tjeneste relevant vil ikke lenger ønske å være en del av kundeprogrammet. En tapt kunde er tapt omsetning, sier Westad.

– Det å justere virksomheten etter GDPR kan snarere bli et konkurransefortrinn. Forbrukerne vil forvente gjensidig tillit og se at dataene de gir fra seg har en reell verdi for dem selv, sier han.

For mange mellomstore bedrifter kan omleggingen synes uoversiktlig. Loven er på over 200 sider. Det å lese, tolke og forstå loven er komplisert. Westad savner den praktiske dialogen mellom det offentlige og næringslivet.

– Vi skulle ønske Datatilsynet kom mer på banen og inviterte til en dialog og viste veien videre. Det er ikke mange som er i stand til å oppnå samsvar med denne loven på de neste 12 månedene, sier han.

De trenger hjelp. Og det er mange som summer rundt honningkrukken som GDPR har blitt den siste tiden. Når fire av fem bedriftsledere svarer at de ikke har satt seg inn i den nye personvernloven, er det behov for en helhetlig tilnærming.