Mange gir velvillig råd om personvernforordningen (GDPR) – både mot betaling og ikke. Men alle råd er ikke like gode, og dette kan føre til at data blir slettet unødvendig, det pådras investeringer og kostnader som ikke er nødvendige, og det kan føre til overforsiktig tilnærming til GDPR, som kan føre til redusert omsetning og gale beslutninger. Det som ikke så mange er klar over, er risikoen ved å gi juridiske råd, både straffe- og erstatningsmessig, og at de som får rådene har færre muligheter til å fremme krav om rådene er feil.
Personvernforordningen (GPPR) er en lovgivning som har betydning innenfor mange områder. Siden personopplysninger i dag behandles i stor grad elektronisk, er koblingen mellom GDPR og IT/teknologi åpenbar. I tillegg er personvernforordningen en tverrgående disiplin, ved at personopplysninger vedrører oss alle (G'en i GDPR står for «general»), så mange føler en tilknytning til reglene.
Dette har ført til at GDPR har engasjert mange – hvilket er veldig bra – og at det har vært et stort engasjement på tvers av fagdisipliner. Men det har også ført til at det er har vært mange som har gitt «råd» om hva virksomheter bør gjøre for å være i overensstemmelse med de nye reglene. Det finnes mange oppfatninger om reglene som ikke stemmer, og siden dette er generell lovgivning så er det ikke alltid klare bestemmelser.
Eksempler
Etter å ha vært gjennom ca. 200 GPDR-prosjekter, har jeg sett mange eksempler på hvor galt dette kan bære av sted. Enkelte av prosjektene har i stor grad gått ut på å rydde opp etter andre rådgivere. Her er noen eksempler:
- Et stort norsk IT-selskap hjalp et selskap med GDPR-gjennomgang. Kostnaden ble nær kr 1 mill., men resultatet var kun en oversikt over IT-systemer, som var til ingen hjelp for å få selskapet klar for GDPR.
- Et selskap hadde fått beskjed av sin rådgiver at de måtte slette sin kundebase fordi de manglet dokumentasjon på samtykker (samtykke var ikke nødvendig i dette tilfelle, så sletting var helt unødvendig).
- Et selskap anskaffet et kostbart IT-system som skulle sikre rask håndtering av innsynskrav. Siden selskapet ikke var spesielt eksponert for innsynskrav, var ikke systemet nødvendig, og de få kravene selskapet får kan håndteres enkelt gjennom manuelle prosedyrer.
- Et selskap hadde blitt frarådet av sin it-leverandør om å bruke digital markedsføring tilpasset sine kunder, noe som medførte at omsetningen ble sterkt redusert. Det var imidlertid ikke noe i de nye reglene som forhindret selskapet i å fortsette å markedsføre som tidligere.
- Et større internasjonalt selskap gjennomførte et stort GDPR-prosjekt som kostet flere titalls millioner. Etter prosjektet var gjennomført, var selskapet i den tro at de var «GDPR-compliant», men det forelå imidlertid ikke tilstrekkelig dokumentasjon på hvordan selskapet behandler personopplysninger og internkontroll som er et alvorlig brudd på GDPR.
Rådene har dermed ført til økte kostnader og investeringer, sletting av verdifulle data, redusert omsetning, økt risiko, men ikke minst at man kanskje ikke tar rett risiko – noe som fører til at man reduserer det kommersielle handlingsrommet og får redusert omsetning og reduserte forretningsmuligheter. Dersom man ligger på nivå E i illustrasjonen nedenfor, vil man ha veldig lite forretningsmessig handlingsrom, mens nivå B eller C er kanskje det mest riktige risikonivået (avhengig av virksomhet og personopplysninger som behandles).
Jeg har aldri tidligere vært borte i at andre enn advokater står i kø for å gi råd innenfor et område som er utpreget juridisk. Det har i stor grad vært konsulenter, it-personell og andre som har gitt råd, og rådene har vært gitt både gratis, som del av salg av maskin- eller programvare, ofte programvare som skal «gjøre selskapet GDPR-compliant i en rask og enkel måte», eller gratis som «velmente» råd.
Årsaken
Hva kan så være årsaken til at det nå er så mange ikke-jurister som gjerne vil gi råd om forståelsen av juridiske tekster i lover og forordninger? Det kan være at man ser på GDPR som noe som har med IT å gjøre. På spørsmål om hvor lenge enkelte konsulenter har arbeidet med personvern kan de imidlertid bli flakkende med blikket og forsøker å bortforklare at man kun driver med GDPR, og ikke personvern (og overser da at GDPR er personvern).
Og så kan det ikke underslås at behovet for råd og veiledning har vært stort etter at GDPR kom, noe som nok har ført til at mange har sett en mulighet til å yte tjenester og tjene penger på GDPR. At området har vært komplisert har nok gjort at det har vært et håp om å komme med en «vidundermedisin» i form av en IT-løsning (selv om dette ikke har fjernet behovet for en juridisk tilnærming). Dette har spesielt vært personer med kompetanse innenfor IT og teknologi, men også innenfor andre områder.
Men rett skal være rett: Råd gis også av jurister og advokater som ikke nødvendigvis har hatt den tilstrekkelige ekspertise innenfor personvern. Det er imidlertid et forhold som både de som mottar råd og de som gir råd om personvern og GDPR synes å overse, og det er at det er kun advokater som lovlig kan gi råd om juridiske forhold og som er forsikret dersom det gis feil råd.
Etter domstolloven er det kun advokater som kan drive rettshjelpvirksomhet, dvs. å gi råd om rettslige spørsmål (med noen snevre unntak fra denne regelen, bl.a. for jurister som ikke er advokat og revisorer innenfor visse områder). Sagt på en annen måte: Det er ikke lov for andre enn advokater å gi juridisk rådgivning. Strafferammen for å yte rettshjelp uten å ha rett til det (dvs. uten å være advokat) er bøter eller fengsel i inntil tre måneder, og inntil seks måneders fengsel ved gjentatt overtredelse. (Og for ordens skyld: Det er like ulovlig å yte rettshjelp uten å ta seg betalt for det).
Det er selvsagt ikke slik at advokater i alle tilfelle gir bedre råd enn f.eks. en som har arbeidet mange år med personvern uten å være jurist. Men som advokat har man en faglig formalkompetanse (jurist) ved at man er utdannet i å tolke lovtekster (5-6 års utdannelse), og minst 2 års praktisk erfaring om man er advokat. Det er derfor mer trolig at selv en advokat uten personvernerfaring vil kunne tolke en bestemmelse i GDPR bedre enn en konsulent som har 1-2 års erfaring med GDPR.
Risikabelt
I tillegg så er det en rekke andre krav til advokater for å sikre og beskytte de som mottar rådene: Advokater må stille sikkerhet for erstatningsansvar (bl.a. for krav som følge av å gi feil råd), ha forsikring, det stilles krav til organisering av virksomheten slik at advokaten er ansvarlig, krav til taushetsplikt og oppførsel gjennom de etiske reglene for advokater (advokater kan klages inn for tilsynsrådet for advokatvirksomhet), det stilles krav til etterutdanning mv.
Det er derfor ikke bare risikabelt for de som mottar råd fra ikke-advokater ved at de kan pådra seg kostnader, kaste bort ressurser eller tap i form av sletting av data. I tillegg vil de som gir råd være eksponert for erstatningsansvar etter rådgivningsansvaret (som er meget omfattende og strengt i Norge), som regel ikke har dekkende forsikring i tillegg til at det er også straffbart å gi råd uten å være advokat. Men ved at de som gir råd ikke har forsikring, kan det være vanskelig å få dekning for sitt krav etter dårlig rådgivning.
Så man bør ikke motta råd fra personer som ikke har ekspertise innenfor det område det gis råd om. Det er imidlertid vanskelig å vite hvem som har ekspertise, siden man sjelden selv besitter ekspertisen. Men ta i hvert fall imot juridisk rådgivning kun fra advokater, siden de er forsikret. Selv om en person har lang erfaring innenfor IT og data, så vil ikke det være det samme som å få råd fra noen med erfaring fra personvernrettslig rådgivning. Har du hatt en GDPR-gjennomgang eller fått råd uten å benytte advokat, bør du få kontrollert at alt er i orden med en advokat med personvernekspertise. (Dette er ikke et innsalg fra min side; benytt gjerne noen andre enn meg til rådgivning, men bare benytt rett kompetanse.).
Det er andre områder hvor advokater ikke nødvendigvis er godt egnet, slik som implementering av informasjonssikkerhetstiltak, vurdering av it-sikkerhet, prosjektledelse mv. Da må man benytte ekspertise innenfor disse områdene. De beste GDPR-prosjektene er de hvor ekspertise fra de ulike fagdisipliner er representert, som IT, jus, informasjonssikkerhet, HR mv. avhengig av virksomheten hvor prosjektet gjennomføres. Men å benytte f.eks. ekspertise på IT eller informasjonssikkerhet til forståelse av hva personvernforordningen innebærer, kan ofte gå veldig galt.
PS! Beklager «orddelingsfeilen» i tittelen. Det måtte til for å få frem et poeng.