NYHET
Event

Slik kommuniserer du i en GDPR-krise

No items found.

Arrangement

Den 22. mai behandler Stortinget den europeiske personopplysningsloven, GDPR. I løpet av sommeren innføres loven i Norge. Loven stiller strenge krav til behandling og lagring av personopplysninger, men også til hvordan man skal kommunisere dersom personopplysninger kan være på avveie. GDPR representerer et veiskille i hvordan dataangrep og tap av personopplysninger må håndteres. Så langt er nesten alle slike saker gått under radaren. Nå må de trolig håndteres i full offentlighet. Spørsmålet er hvor godt forberedt norske virksomheter er på det.

GDPR stiller tydelige krav til å varsle Datatilsynet når det er mistanke om at personopplysninger er på avveie. Myndighetene skal varsles innen 72 timer, men også personene som er berørt av at deres personopplysninger er spredd til uvedkommende, skal informeres.

Tøffe konsekvenser

I følge Nasjonal Sikkerhetsmyndighet (NSM) var det 22.000 dataangrep i Norge i 2017. Bare en håndfull av disse er kjent for offentligheten. GDPR endrer trolig på det. De første virksomhetene som må håndtere personopplysninger på avveie under den nye lovgivingen, står overfor potensielt svært krevende krisehåndtering. Ikke bare står tilliten hos kunder og andre nøkkelinteressenter på spill fordi man ikke har evnet å ta vare på personopplysninger på en forsvarlig måte, men krisen må sannsynligvis håndteres under pressens og omgivelsenes kritiske søkelys. Det er flere grunner til at dette er sannsynlig:

  • Norske myndigheter kan av allmennpreventive hensyn velge å statuere et eksempel gjennom hvordan de håndterer og kommuniserer de første
  • Innsynsbegjæringer fra media avdekker saken
  • Virksomhetene har informert personene hvis opplysninger er på avveie, slik de skal gjøre, og saken lekker videre til media eller sosiale medier

Dårlig forberedt

En undersøkelse fra BDO viser at bare cirka 40 prosent av norske virksomheter mener de er forberedt på å håndtere personopplysninger i tråd med GDPR.

Vår spådom er at langt færre er forberedt på å håndtere krisen og kommunikasjonen om skaden skulle inntreffe.

  • Svært få virksomheter har trent på GDPR som et krisescenario
  • De færreste virksomheter har utviklet kriseplaner med rollekort og sjekklister for å håndtere en GDPR-sak.
  • Nesten ingen har erfaring fra å håndtere personopplysningskriser i Norge.

Erfaringer fra utlandet

Internasjonalt har man imidlertid en god del erfaring med slike saker. Erfaringene og beste praksis fra utlandet er blant annet:

  • Ikke undervurder og underkommuniser et datangrep eller at personopplysninger er på avveie. Omfanget har en tendens til å øke i underveis i opprullingen. Har man kommunisert et lavt tall i starten av krisen, og dette viser seg å være feil, går det på tilliten og troverdigheten løs.
  • Vær proaktiv og ta styringen på kommunikasjonen med offentligheten. Hvis media eller andre får styre fortellingen, åpner det for spekulasjoner, misfortåelser og en eskalering av krisen. Brudd på varslingsplikten i GDPR vil ytterligere forsterke omdømmekrisen, i tillegg til å eksponere virksomheten for bøter.
  • Kommuniserer enkelt og konsist. Unngå å kommunisere med juridisk eller teknisk språk selv om saken er kompleks og full av jus.