EU skaper endring av forretningsmodeller

General Data Protection Del 2

En av de store snakkisene i bransjen det siste året har vært konsekvensene av den nye personvernforskriften som er i prosess hos EU-kommisjonen. Dette er en problemstilling vi har investert tid og ressurser i å sette oss inn i for på best mulig måte kunne legge til rette for en smidig overgang for våre kunder.

Simen Sommerfeldt, CTO i Bouvet, har vært engasjert sammen med oss i KOBRA på oppdrag gjennom 2015. Han er en nestor på området som kanskje har satt seg aller mest inn i endringene som kommer som følge av de nye personvernforordningene som kommer fra EU. Simen har fulgt prosessen tett og diskutert med ledende jurister på dette fagfeltet. Dette er den andre artikkelen i en serie av tre hvor vi dykker ned i hva disse endringene betyr.

Del 1: Bakgrunnen for endringene
Del 2: Hva må du som bedrift tenke på

For kort tid siden ble EU-kommisjonen enige om en ny forordning for bruk og håndtering av Personvern i EU. Vil du vite mer om hvorfor dette har kommet på agendaen anbefaler vi deg å lese Del 1: Bakgrunnen for endringene.

Den første bloggartikkelen skapte så mye oppstyr at vi har fått bistand av advokat Eva Jarbekk hos Føyen Torkildsen til å kjøre en ekstra faktasjekk. Eva var den som fortalte Simen om forordningen i utgangspunktet, og har holdt oss løpende orientert om hva som skjer.

Konsekvenser ved ikke å følge reglene kan bli enorme

 Resultatet av disse endringene er en helt annen måte å håndtere kunder og data på. Først om halvannet år vet man mer konkret om hva dette betyr i praksis, og det er det 2 grunner til. Nummer en - du må lære deg det. Nummer 2 - reglene endrer seg, forklarer Simen

Med de nye reglene vil bla. annonsørmarkedet måtte total endre sin måte å jobbe på. Vi går nå fra personalisert annonsering av typen ”Se! Her er de støvlene du så på Zalando for tre uker siden”, til å ta det tilbake til tilfeldig, upersonalisert reklame uten mulighet for å spore, samle og selge data om kunden. Personalisert reklame vil måtte ha et mye klarere avtalegrunnlag med brukerne enn i dag.

Dette kan bety at internettmarkedsføring slik vi kjenner det er i ferd med å trekke sitt siste åndedrag. Når den nye EU-forordningen trer i kraft vil de ha et betydelig svekket arsenal for å nå ut til massemarkedene – annonseringsbyråene vil få et forklaringsproblem når effekten og verdien av annonseringen sin reduseres. Mange bedrifter arbeider derfor nå med å klargjøre brukeravtalene med kundene slik at etablert praksis kan fortsette.

At akkurat denne bransjen møter utfordringer vil kanskje ikke den jevne forbruker fortvile over, men som kjøper av denne type tjenester er det grunn til å rette fokus andre steder for å gjøre seg fortjent til oppmerksomhet hos sluttkunden.

Det vi vet helt sikkert er at ”alle” kommer til å bruke tid og krefter på å finne nye måter å nå ut til kundene på, og erfaringsmessig er det de som er mest kreative når det kommer til innovasjon, digital transformasjon og kundeinnsikt som ligger best an. Undersøkelser viser dessuten at satsning på kundetilfredshet og kundeopplevelse skaper gode, langvarige kundeforhold.

Du vil ikke ha råd til å ikke følge reglene

Den nye forordningen skal etter planen stemmes gjennom i februar-mars i år. Da vil den være gjeldende 2 år etter det. Tidligere har det vært et direktiv, men nå endres dette til en forordning.

Simen Sommerfeldt, CTO i Bouvet:

 Det at det er en forordning betyr at dette skal gjøres, det skal inn i lovverket. Det er ikke noe valg der. Dette er noe veldig mange bedrifter må følge, forklarer Simen.

 Slik det ser ut nå vil det ikke være mulig å tenke at dette treffer ikke meg. Dette vil gjelde de fleste i Norge, og ikke nok med det. Dette vil gjelde alle som har kunder i EU. Så til og med Google, Ebay og Microsoft må følge dette. Alle som har kunder i EU må ha en juridisk representant her som de kan snakke med, sier Simen.

 Mye av grunnen til at det har blitt så mye snakk om denne forordningen er konsekvensene ved å ikke gjøre dette riktig. En bot vil kunne ta livet av bedriften: bedriften kan motta bøter på opp til 4% av global brutto omsetning. Tidligere var den største boten en kunne få var 10G (ca. 890.000 kroner p.t.). Nå er maks boten 20 millioner euro, per case. Så hvis du har et case i mars og et i juli vil du kunne få to bøter, forklarer Simen. 

Hva vi foreløpig vet kommer til å skje

Større krav til generell IT-sikkerhet
- Du må melde inn ”breaches”, altså avvik til Datatilsynet innen 72 timer etter det er oppdaget. Det er en veldig kort frist. I mange tilfeller må man også melde avvik til de personene hvis data har vært utsatt for noe feil. Så de fleste må jazze opp sikkerheten sin ganske mye, forklarer Simen

Klassifisering av data gir nye forretningsmuligheter for skyløsninger
Data som kan regnes som sensitive vil det stille større krav til blir behandlet varsomt. På grunn av endringene som omhandler USA sitt innsyn i data (Safe Harbor og Privacy Shield) vil det kunne åpne et helt nytt marked for lokale skyleverandører. Det vil bli mye vanskeligere å kunne oppbevare din data i en skyløsning, for USA kan ha tilgang. 

Offentlige innkjøpsregler vil ha med krav om sertifisering
- Sertifisering betyr at en må bygge kompetanse, gjøre om på rutiner og skaffe mye ny kunnskap. EU forordningen er på ca 200 sider. Jeg har lest den. Den treffer forskjellige bransjer på ulik måte. Å sertifisere seg betyr at du viser du har dokumentert etterfølgelse av alle de relevante påleggene, du har at rutiner i orden, at varsling stemmer, policy ovenfor kunder, etc. Alle må ikke det. Men alle må følge reglene, og det å ha en sertifisering vil kunne minske bøtenivået - fordi firmaet ditt viser at dere har gjort en innsats for å følge reglene, forklarer Simen

Personvern
Dine kunder får økte rettigheter. De skal kunne kreve innsyn i all informasjon du har om dem. De skal kunne kreve sletting eller flytting av informasjonen. Og hvis du flytter eller deler deres opplysninger med en tredjepart må du be om lov, og informere dem. De skal også kunne nekte automatisk saksbehandling dersom de er uenig i faktagrunnlageet for en beslutning. Videre får kundene ganske sterke klagemuligheter.

Du kan ikke vente med dette – begynn med en gang

For noen kan dette innebære store omveltninger i deres forretningsmodell. For andre, mindre. Det er foreløpig usikkert hvordan dette kommer til å påvirke de forskjellige bransjene, men det betyr ikke at du bør vente. I dialog med KOBRA har Simen utarbeidet en liste Sammen med Simen har vi i KOBRA satt opp en oversikt over hva du bør begynne med nå.

  • Få noen som kjenner forretningen både merkantilt og teknisk til å sette seg inn i forordningen
  • Gjør dere også kjent med hvilke nåværende lover og regler dere er underlagt. Der hvor forordningen kommer i konflikt med f.eks. regnskaps- eller arkivloven vil sistnevnte som regel ha for-rang
  • Gjør en vurdering av hvordan forordningen vil påvirke dere. Det kan lønne seg å tenke i to dimensjoner her: Forretning/kommunikasjon, og teknisk
  • Identifisér hvilke endringer dere må gjøre i systemer for å tilfredsstille forbrukerens nye krav (innsyn, avledet bruk, tilsagn, sletting, flytting)
  • Påbegynn en dokumentasjon av hvordan dere vil etterleve forordningen. Dere kan bli avkrevd en slik fra datatilsynet
  • Der hvor mulig, finn en en bransjetolkning (I følge EU vil slike komme etterhvert). Søk opp et bransjeforum der dere drøfter mulige tolkninger sammen
  • Klassifisér dataene deres og se om dere kan spore endringer på dem
  • Finn ut hvor data er lagret og hvem som har ansvar. Gå gjennom alle Cloud-avtaler og se om de holder vann mht. sensitive data.
  • Se hvilke sikkerhetstiltak dere har. Iverksett tiltak som kildekodegjennomgang og penetrasjonstester om nødvendig. Sørg for at dere har grunnleggende sikkerhet (infrastruktur, patching, brannmurer, tiltak mot social engineering) på plass, gjerne med et ISO 27.000-lignende system.
  • Et godt tips er å få på plass IAM (Identity/Access Management) og logging på tvers av systemer dersom dere ikke har det allerede. Det vil være nødvendig for å oppdage såkalte “Kill chains” ved sikkerhetsinnbrudd
  • Kjør Risiko- og Sårbarhetsnalyser på systemer som håndterer sensitive data (Dette blir et krav under forordningen)
  • Få skikk på leverandørene - se om de følger regelverket. De er en forlengelse av firmaet ditt i denne sammenhengen.
  • Sjekk nåværende prosjekter og juster dem i tråd med forordningen. Ikke start på noe i dag som vil være ulovlig om to år!

Det er ingen grunn til å få helt panikk og ta avstand til alt, men gjør deg heller kjent med regelverket og finn ut hvordan det vil påvirke deg. På enkelte områder vil vi måtte tenke nytt, men det stiller bare krav til  at vi må være innovative og nytenkende.