Jeg skrev denne artikkelen for 5 år siden, og den gang var utfordringen «personvernrådgivere» som ikke ga spesielt riktige eller gode råd. Resultatet kunne føre til sletting av verdifulle data, økt risiko og redusert omsetning. Det ble solgt inn it-løsninger, standarddokumenter, rutiner som var generelle og vanskelige å etterleve og ofte – dessverre – helt feil råd som eksponerte selskapene for tap og brudd på personvernlovgivningen. GDPR var relativt nytt, og mange kastet seg på bølgen.
Dette førte til mye opprydding i de påfølgende år, som ga arbeid for oss som driver med personvern, men var unødvendig bruk av tid og penger.
I dag er det blitt noe bedre, heldigvis, men «personvernrådgiverne» fra den gang er til en viss grad erstattet med salg av IT-løsninger som skal «løse GDPR-utfordringene» og gjøre deg «GDPR-compliant». Dette var et problem for en del år siden, men har blitt mer omfattende.
Dessverre finnes det ingen systemer som fikser alt som standard (til og med de som bruker AI). Enkelte løsninger tilbyr standarder og sjekklister som kan gi en start og utgangspunkt. Og man kan ikke bli «GDPR-compliant» ved bruk av et system. I mange tilfeller vil det bare gi en falsk trygghet.
Eneste måten er planmessig, godt arbeid (i det vesentlige utført av mennesker). Det må iverksette faktiske tiltak, lage tilpassede rutiner, dokumentere arbeidet og vurderinger, implementere rutinene og sørge for informasjon, foreta opplæring, gjennomføre kontroller på at rutinene er implementert og følges, osv. og så gjøre det hele om igjen regelmessig siden det skjer endringer i behandling, teknologi og regelverket.
IT-systemer kan være bra, men de er aldri gode nok. Og dessverre så virker det heller ikke som de som leverer systemene kan regelverket godt nok, så hvordan kan da systemene være tilstrekkelig gode? Noen eksempler følger i kommentarene nedenfor.
En brannfakkel her sikkert (som artikkelen for 5 år siden), og det er sikkert også andre meninger om dette. Men en god diskusjon er bra for at vi skal alle bli bedre!
PS! Artikkelen er noe utdatert, for siden denne gangen er det kommet endringer i lovverket så også ikke-jurister kan snart gi rettsråd. Og det er kommet mange gode personvernrådgivere der ute som ikke er jurister, og det har vist seg at ikke alle jurister har hatt tilstrekkelig ekspertise heller. Så i artikkelen kan med fordel «jurist/advokat» erstattes med «person med rett ekspertise». Men husk at jurister og advokater har og vil ha strengere ansvar for rådene sine og til å stille sikkerhet (som forsikring).