Næringslivet blir påført ytterligere byrder

Denne saken ble først publisert i Bergens Tidende 03.12.2017

EU har tatt opp den viktige kampen for personvernet. Fienden er de store amerikanske nettgigantene som vet alt for mye om oss. EU sitt våpen er en personvernforordning på 99 artikler og ammunisjonen er fortalen på 173 punkter. Men våpenet treffer bredt – så bredt at det kan medføre skivebom når våpenet rettes mot mindre bedrifter.

Din lokale frisør på hjørnet behandler personopplysninger om deg.

Navnet ditt og mobiltelefonnummeret er lagret elektronisk. Også hva du har gjort hos frisøren de siste årene er lagret i kundesystemet. At hårfargingen du foretok i august 2015 var mislykket, er fremhevet med fet skrift. Kanskje har også frisøren notert at du av og til har eksem i hodebunnen. Det er en helseopplysning. Helseopplysninger er sensitive personopplysninger hvor det gjelder strengere krav enn ellers.

Alle bedrifter som behandler personopplysninger skal etter EU-forordningen om personvern «gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordningen». Betyr dette at frisøren på hjørnet skal lese gjennom alle de 99 artiklene og fortalen på 173 punkter for å sikre og påvise at frisørens behandling av opplysninger om deg er i samsvar med forordningen?

Etter gjeldende rett er det særnorske regler om hvilke internkontrollsystemer bedrifter må ha for å etterleve kravene i personopplysningsloven.

Det blir det slutt på.

Departementet skriver i høringsnotatet at vi ikke lenger kan ha slike særnorske regler som konkretiserer kravene.
Frisøren på hjørnet må derfor selv avgjøre hvilke internkontrolltiltak han bør få på plass slik at forordningen etterleves.

På Datatilsynets hjemmeside er det publisert en liste på 12 punkter over hva som må gjøres. Frisøren på hjørnet må blant annet vurdere risiko- og personvernkonsekvenser, oppfylle nye krav til avvikshåndtering og sørge for at han kan oppfylle dine rettigheter etter forordningen. Datatilsynet har videre publisert hele åtte veiledere om temaet i 2017.

Når hverdagen er å drive frisørvirksomhet med to ansatte, blir både det å sette seg inn i alt regelverket og etterleve det uoverkommelig.

Regelrådet er en av de instansene som har ment noe om det nye regelverket. Rådet skal bidra til at næringslivet ikke påføres unødvendige byrder gjennom nytt og endret regelverk.

Rådets vurdering er «Rød». Det betyr at forslaget ikke var tilstrekkelig utredet. Rådet mener at det ikke foreligger god nok beskrivelse av hvilke bedrifter som berøres av forslaget og hvordan konsekvensene blir for de ulike bedriftene.

NHO peker på at forordningen vil påføre norsk næringsliv store kostnader, både ved omstilling og drift. NHO fremhever at det ikke bare er snakk om å sette seg inn i og forstå et komplisert regelverk, men rutiner må på plass og systemløsninger må endres. Reglene vil gjelde for omtrent alle norske bedrifter. Skivebommen blir enda større tatt i betraktning at en av målsetningene med personvernforordningen var å fjerne unødvendige byrder for bedrifter.
Forordningen skal etter planen bli gjeldene rett i Norge fra 25. mai 2018.

Om frisøren på hjørnet før det får en avklaring fra departementet på hvilke konsekvenser forordningen får for ham og hva han må gjøre, er temmelig uvisst.

Det eneste som er sikkert er at næringslivet blir påført ytterligere byrder, og særlig for de mindre bedriftene kan dette bli en tung byrde. Byrden blir ekstra tung når frisøren på hjørnet må være med å betale prisen for at Google og Facebook vet alt om oss.