Bud på Sørlandet
Om ett år trer den nye personvernloven i kraft. Datatilsynet har inntrykk av at Sørlandet henger etter i forberedelsene.
– At det settes fokus på personvern og datasikkerhet gjennom et så stort arrangement som dette, er bra. Hos oss utvikler vi systemer som håndterer persondata, for eksempel via reiseregninger og timelister, pluss at vi tilbyr databehandlingstjenester for andre. Så dette står definitivt høyt på agendaen, sier Øistein Nordhagen.
– Men det dreier seg om mye mer enn rendyrket it. Og gjør du feil, må du gå i fengsel, legger kollega Hilde Espeland til. Smilet antyder halvt spøk, halvt alvor.
Begge jobber for it-firmaet Unit4s avdeling i Kristiansand. Og de er blant drøyt 200 deltagere på it-konsernet Ateas arrangementet Sikkerhetsdagen 2017 i Q42s største sal. 100 forskjellige virksomheter er representert denne fredagen.
EU-DIREKTIV = NORSK LOV
Først ut blant foredragsholderne er Stian Drevdal Kringlebotn, seniorrådgiver i Datatilsynet og utstyrt med uforfalsket kristiansandsdialekt.
– Dere kan like gjerne lære forkortelsen med en gang: GDPR, General Data Protection Regulation, EUS personverndirektiv som oversettes ord for ord og blir norsk lov med ikrafttreden 28. mai 2018. Det er en lang og vanskelig lov som krever skjerping. Tilblivelsesarbeidet stoppet litt opp og var utsatt for voldsom lobbyisme, men skjøt ny fart etter Snowden-avsløringene. Intensjonen er å berede grunnen for fremtidens europeiske, digitale tjenester, forklarer Kringlebotn.
Ett konkret utslag av den nye loven er at det nok skal bli en del ledige stillinger som personvernombud fremover. For alle offentlige virksomheter (unntatt domstolene), pluss alle private som har som kjernevirksomhet å behandle sensitive personopplysninger eller å overvåke personer, må skaffe seg et eksemplar av arten.
– Det kan være en ansatt, eller tjenesten kan kjøpes. Det går også an å dele på et ombud. Jeg har vært i kontakt med en del virksomheter og inntrykket er at det er glissent med personvernombud på Sørlandet, antyder mannen fra Datatilsynet.
Han har ellers med seg tilsynets åtte punkts smørbrødliste for å forberede seg til mai 2018. (Se faktaramme.)
– Nummer to er superviktig. Og nummer fem: Hvorfor skulle vi ikke ha et personvernombud? spør han.
SAFTIGE BØTER
Nestemann ut er Eirik Gulbrandsen fra Arrow ECS Norway. Han titulerer seg som «Security Evangelist» og konstaterer innledningsvis at Google bryr seg lite om et land med fem millioner innbyggere, men mye om Europa.
– Og da er det bra med felles personvernlovgivning i hele EØSområdet.
Gulbrandsen har betraktninger om Remas Æ-app og bilforsikring med rabattsatser basert på digitalt målt kjøremønster. Så kommer han til hva som skjer ved overtredelser av personvernlovgivningen.
– Si at en utro tjener selger persondatabasen på svartebørsen i Russland. Etter gjeldende regelverk gir det en bot til foretaket på maks 925.000 kroner. Med de nye reglene kan det komme opp i fire prosent av omsetningen. Et hypotetisk eksempel: For Agder Energi betyr det inntil 334 millioner kroner. Slikt er en finansiell risiko som må inn i styrerommet.