<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-W3GDQPF" height="0" width="0" style="display:none;visibility:hidden">

Tusenvis av norske bedrifter bryter personvernloven

Samtykker på bedriftenes egne nettsider er en av synderne der bedriftene oftest kjøper seg falsk trygghet, skriver Tom Bülow-Kristiansen i Adminkit.

    Publisert 11. okt. 2023 kl. 16.27
    Lesetid: 2 minutter
    Artikkellengde er 484 ord
    IKKE I MÅL: Orden på cookies gir falsk trygghet, hevder artikkelforfatteren. Illustrasjonsfoto: Dreamstime

    Opp mot 80 prosent av landets 175.000 småbedrifter bryter trolig personvernreglene hver eneste dag. Bedriftene risikerer til dels store bøter og omdømmetap om det kommer ut at en virksomhet ikke har passet på personopplysninger om sine kunder, leverandører eller ansatte. Anslaget er basert på kundeundersøkelser i en rekke bransjer innen små og mellomstore bedrifter.

    Tom Bülow-Kristiansen. Foto: Heidi Marie Gøperød

    Disse bedriftene har egne nettsider. Når nettsidene samler inn personopplysninger, er dette strengt regulert av GDPR-regelverket, som blant annet ivaretar personvernet til de som besøker nettsidene. Dette kalles «cookies consent». Ja, det er boksen som dukker opp på skjermen din mange ganger om dagen, og som du ofte ukritisk klikker «tillat» eller «godta» på for å få den vekk raskest mulig.

    Eierne av nettsiden du besøker er ofte bedrifter som samler inn data fra brukerne. Dette krever en sikker «samtykkeløsning». Ifølge GDPR-regelverket må bedriften blant annet kunne vise til når samtykket er gitt, og det er kun lov til å be om ett samtykke per handling. Ofte er det i disse boksene en knapp som sier «godta alle», og når vi ser at det kun er lov med ett samtykke per handling, da er det rett og slett ulovlig.

    De færreste lederne i små og mellomstore bedrifter har inngående kunnskaper om EUs personvernforordning (GDPR). Situasjonen i Norge fem år etter Stortinget vedtok og innførte GDPR-regelverket her hjemme, er at mange bedrifter har tatt kjappe grep og tror de har gode nok systemer, og at de faktisk har kvalitetsstempelet «GDPR Compliant». Datatilsynets reaksjoner mot stadig flere bedrifter viser at dette ikke er tilfellet. Mørketallene når det gjelder lovbrudd er store.

    Mange lever med en falsk trygghet, mens andre føler på GDPR-skammen. De vet ikke hva personvernloven egentlig innebærer, og er oppriktig bekymret for at de ikke følger reglene. Det kan være treningssenteret med åtte ansatte, et konsulentselskap, en nettbutikk, transportselskapet med fire lastebiler eller et fysioterapisenter.

    De færreste vet at ledelsen minst må ha oversikt (lovpålagt protokoll) over alle personopplysningene i bedriften, ikke bare på de som besøker nettsidene. I tillegg må man ha en risikovurdering, personvernerklæring og databehandleravtaler med leverandører av ulike systemer. Til sammen danner dette grunnlag og oversikt over bedriftens rutiner for hvordan personopplysninger samles inn, behandles og slettes i virksomheten.

    Også mot små og mellomstore bedrifter har vi i det siste sett at det skrives ut til dels store bøter. På tre-på-topp-listen over bøter innen GDPR finner vi ulovlige kredittvurderinger, kameraovervåkning og feilaktig håndtering av epost-kontoer. Som bedriftsleder har du ansvaret for at alt dette er i orden.

    Tom Bülow-Kristiansen

    Personvernrådgiver i Adminkit

    (Adminkit leverer tjenester relatert til GDPR. Red.)