20-02-2017

Som en følge av den pågående og allestedsnærværende digitaliseringen får bedrifter tilgang til enorme mengder data. Dette skaper nye muligheter for selskaper som på en mer målrettet måte kan treffe forbrukerne. Dette er bra for både forbrukeren og selskapene. Men med utviklingen følger også risikoen for at informasjonen kommer på avveie og blir misbrukt. Dette er en trussel både selskaper og myndigheter må ta på alvor.

se-security.jpg

Nytt personverndirektiv gir like rammevilkår

I EU innføres våren 2018 et nytt direktiv for å motvirke nettopp de utfordringene som ligger i datasikkerhet. Sist gang vi så et slik direktiv var i 1995, før Facebook, Amazon og Finn.no. Tiden er altså mer enn moden for et nytt regelverk som tar for seg de endringene vi har sett i samfunnet. Forordningen, som kalles EU General Data Protection Regulation (GDPR) har blant annet som hensikt å etablere minimering av datalagring. Altså at bare data som er strengt nødvendig for et bestemt formål skal kunne lagres. Dette vil sikre borgernes rettigheter ytterligere, noe som bør ønskes velkommen av bedriftene. I tillegg skal selskapene begrunne bruken av data, samt opprette et eget personvernombud.

Direktivet omfatter også ikke-europeiske selskaper som bruker data fra europeiske forbrukere. Dette er en fordel for norske selskaper som opererer på kontinentet, som nå får like rammevilkår som globale aktører som Facebook, Apple og Amazon. Et annet viktig element er at reglene i stor grad vil bli like i alle EU og EØS land. Dette minnimerer kostnadene ved operasjoner i flere land. Direktivet er et etterlengtet grep for å dempe risikoen knyttet til ny teknologi og reprensenterer en mulighet for virksomheter til å vise at de tar nødvendige grep for å sikre forbrukernes personvern.

Nytt risikobilde

I dag bruker kun seks prosent av nordmenn kontanter jevnlig og vi forventer å gå over til et stadig mer kontantløst samfunn. Det er selskapene som har ansvaret for forbrukernes sikkerhet og som må ta nødvendige grep for å forebygge angrep i form av skimming og identidetstyveri. Samtidig er det viktig at myndighetene sørger for at lovverket følger med og gir bedriftene gode rammebetingelser slik at de kan håndtere det nye trusselbildet. I tillegg til angrep på forbrukerne kommer risikoen for angrep på virksomhetenes egne verdier. Slike angrep vil også kunne skje på private og offentlige virksomheter i forsøk på å få tilgang til virksomhetskritisk informasjon, som patenter og budsjetter, men også økonomiske verdier. Nasjonal Sikkerhetsmyndighet (NSM) utga i år en rapport som vurderer risikobildet i Norge og gir innsikt i hvilke grep foretakene må ta for å sikre seg. Her anbefaler NSM at bedriftene kartlegger trusselbildet, i tillegg til at de påpeker viktigheten av at sikkerhet må være en integrert del av virksomhetens strategi.

Økt tilgang på personlig data

Det er ikke bare tilgangen på økonomiske detaljer og kritisk virksomhetsinformasjon som utgjør en trussel i et digitalisert samfunn. Overvåkning og misbruk av personlig data er et vel så viktig aspekt av digitalisering for forbrukerne. Konsulentselskapet BCG gjennomførte i 2013 en undersøkelse blant forbrukere i Europa. Undersøkelsen viser at 75 prosent av respondentene regner privates rettigheter som svært viktige i digitaliseringsspørsmålet. For å lykkes må selskapene vise kundene at de er til å stole på. Tillit må fortjenes over lang tid, men kan tapes på et øyeblikk. Selskaper som ønsker å benytte seg av datainnsamling for å skape bedre produkter og tjenester må derfor vise hva de bruker informasjonen til, for eksempel ved å forklare i detalj til den enkelte forbruker hvorfor datainnsamlingen gavner dem. De selskapene som får forbrukernes tillit vil vokse i det lange løp.

Store muligheter

Digitalisering, datainnsamling og et kontantløst samfunn gir store fordeler for både selskaper og forbrukere. Handling av varer over internett går raskere enn i butikken, anbefalinger basert på tidligere kjøp skaper mersalg for bedriftene og gir samtidig forbrukerne informasjon de faktisk trenger. Digital post gir lettere oversikt og gjør hverdagen enklere for den jevne nordmann. Samtidig åpner disse trendene opp for en ny type kriminalitet som vi må ta på alvor. Cyber angrep, skimming og identitetstyveri er noen eksempler. Myndighetene kan innføre krav om strengere rutiner, men ansvaret ligger på selskapene selv. De som klarer å vise at de tar trusselbildet på alvor og bygger tillitt ved å vise at de har etablert gode rutiner for å oppdage og håndtere angrep, er de som vinner i lengden. Sammen må myndigheter, selskaper og forbrukere finne løsninger som fungerer for alle.

Aktive grep selskaper bør ta for å ivareta sikkerheten:

  • Få inn sikkerhet som en integrert del av selskapets strategi og styringsverktøy
  • Legg en stategi for hvordan selskapet forebygger, oppdager og håndterer data samt eventuelle angrep
  • Forstå de nye compliance kravene EU stiller og implementer disse i bedriftens sikkerhetsarbeid
  • Legg en klar strategi for risikostyring som tar høyde for bedriftens operasjonelle risiko og innarbeid denne i det daglige arbeidet
  • Gjør en business impact analyse for å kartlegge hva som har høyest verdi i virksomheten
  • Bygg tillitt hos forbrukerne ved å vise at dere tar personvern på alvor
  • Vis hvordan bruk av data gir bedre løsninger for brukerne