Tech

GDPR tar jafs av IT-budsjettet

Personvernforordningen GDPR spiser av IT-budsjettene og oppleves som en byrde. Ifølge Lars Erik Fjørtoft i PwC skyldes dette ofte dårlige råd.

Lars Erik Fjørtoft. Foto: PwC

Lars Erik Fjørtoft, personvernansvarlig i PwC, mener bedrifter som opplever GDPR-tiltak som negativt for virksomheten, må utfordre tiltakene dersom de strider mot regelverkets hensikt om økt handel. Foto: PwC

Artikkel av: Torgeir Kveim Sti
7. november 2018 - 13.14

– GDPR ble ikke laget for å legge byrder på europeisk næringsliv, gi bøter eller øke kostnadene. Grunnen var å få boost i digital samhandling, sier Lars Erik Fjørtoft, personvernansvarlig i PwC.

Den nye personvernforordningen GDPR (General Data Protection Regulation) spiser grovt av norske selskapers IT-budsjetter. Det kommer frem i PwCs Cybercrime-rapport i samarbeid med Finans Norge om sikring av personopplysninger.

Hele 41 prosent av 146 danske og norske bedriftsledere, IT-ansvarlige og sikkerhetseksperter sier personvernforordningen har ført til større endringer internt i virksomhetene.

14 prosent har hatt omkostninger på mer enn 6 millioner kroner, som følge av GDPR.

Ser personvern som byrde

Flere personer Finansavisen har vært i kontakt med det seneste halvåret har uttrykt irritasjon over en personlovgivning som øker kostnadene, spiser av eksisterende forretningsgrunnlag og at konkurrenter som ikke følger reglene ikke blir sanksjonert mot.

Rapporten viser at nær en tredel har gjort investeringer i ny teknologi, mens én av fem mener forordningen har vært en byrde.

Fjørtoft tror at en del av irritasjonen kan stamme fra feiltolkninger og dårlige prosesser hvor selskaper har gått hardere til verks enn nødvendig.

– Mange mener det ligger mye gull i å lagre kundeinfo, men får beskjed fra IT at denne informasjonen må slettes. Da sitter det sikkert ledere som irriterer seg over å ha brukt tusenvis av timer på å ødelegge for egne forretningsmuligheter, sier han.

Misforstått premiss

Han påpeker at dette går på tvers av det som er kjernen og formålet med GDPR. At regelverket ikke ble innført for å stikke kjepper i hjulene på næringslivet, men derimot for å tilrettelegge for mer nettbasert handel gjennom enklere og tryggere lagring av kundedata.

– Jeg har vært i prat med mange kunder som sier de har slettet data basert på anbefalinger fra ulike «personverneksperter», advokater, konsulenter og IT-folk. Men i en situasjon hvor man utvikler nye forretningsløsninger er informasjon om kunden er veldig viktig for å tilby digitale tjenester. Slike dårlige anbefalinger kan det ha gitt en følelse av at man er lenger unna enn det man har trodd, sier han og legger til:

– Premisset for GDPR er at det skal være mer trygt for deg og meg å dele persondata, med noen spilleregler som skal sikre denne tryggheten.

Prioriteres høyt

Svarene i rapporten indikerer at investeringene rundt håndtering av GDPR bare vil øke de neste 12 månedene. Spesielt innen smartere loggføring og bevisstgjøring svarer henholdsvis 65 og 59 prosent av respondentene at disse områdene er prioritert høyt. Over halvparten gjør dette på bakgrunn av personvernforordningen.

Fjørtoft mener én faktor kan være at en stor del av virksomhetene nå enten er etablert eller er på vei over i skybaserte løsninger. Dette reiser spørsmål rundt håndtering og innsyn i data.

Med økte kostnader og redusert tilgjengelighet av kundedata, kjøper ikke alle argumentene om at GDPR kan være bra for virksomheten. Fjørtofts anbefaling til selskaper som er gjennom en GDPR-prosess er å løfte frem forretningsaspektet.

– Hvis det kommer en advokat eller teknisk ressurs som mener du skal slette informasjon, som er viktig for å gi god service, skal forretningssiden utfordre med å spørre hvordan dette samsvarer med intensjonen om økt handel, sier han.

– Grunnen til at GDPR er bra skal være at jo mer målrettet data du kan benytte deg av, jo bedre treffer du kunden. Men dette krever smart samsvar og en plan for å bygge nødvendig tillit.