GDPR: Vi trenger et felles samtykkeregister!

Nå som den nye personvernlovgivningen GDPR (General Data Protection Regulation) er nært forestående, har norske bedrifter innsett at de har et problem: Fra 25. mai 2018 vil de ikke lenger kunne bruke sine eksisterende kunderegistre, epostlister o.l.

I hvert fall ikke med mindre listene og databasene oppfyller disse kravene:

  • Bedriften må kunne bevise at mottager har samtykket til kommunikasjon (= dobbel opt-in)
  • Bedriften må kunne bevise at mottager har samtykket til kommunikasjon i hver enkelt kanal separat (= én avkryssing for epost, én for sms osv.)
  • Bedriften må kunne la mottager logge seg på og administrere sine egne samtykker.
  • Bedriften må kunne la mottager kreve å få se de data som er registrert på ham.
  • Bedriften må kunne la mottager hente ut sine egne data og ta disse med seg til en annen leverandør (= «retten til dataportabilitet«)
  • Bedriften må kunne la mottager kreve at alle data om ham blir anonymisert eller slettet (= «retten til å bli glemt»)
  • Bedriften må også ha såkalte databehandleravtaler med alle leverandører som er i befatning med bedriftens kundedata (= epostsystemer, CRM-systemer, fakturasystemer, POS-systemer etc.) Leverandørene jo vil møte krav om slike avtaler fra samtlige av sine kunder, og de seriøse av dem er derfor allerede i gang med å lage slike standardavtaer for kundene sine. Det er likevel verd å merke seg at det er bedriftens ansvar at en slik avtale foreligger og at den er lovlig (ikke leverandørens).

Ettersom det er ramme for bøter på inntil 20 millioner euro for å bryte loven, og Datatilsynet i klartekst har varslet «skarp håndheving» av det nye lovverket, er det jo ingen som har råd til å være uforsiktige med dette.

Men her er problemet:

HVORDAN SKAL DETTE EGENTLIG LØSES I PRAKSIS?

Faktum er jo at svært få, om noen, leverandører av epostsystemer, kundedatabaser, fakturaprogrammer etc. har allerede på plass løsninger som gjør det mulig for kundene deres å oppfylle den nye loven. Forhåpentligvis kommer slike systemer til å finnes innen 25. mai 2018; ellers vil jo leverandørene miste kundene sine ettersom de vil måtte flytte sine kundeforhold over til de leverandørene som faktisk HAR fått systemene på plass.

Men også om systemene kommer på plass har vi et problem, og det rammer ikke bedriftene, men alle kundene deres; altså hver og en av oss.

For om vi estimerer at hver nett-aktive nordmann har for eksempel 300 forskjellige bedrifter som han/hun er eller har vært i kontakt med (kjøpt varer eller tjenester av, meldt seg inn i kundeklubb, meldt seg på nyhetsbrev, bestilt mobilvarsling etc. etc.), så betyr dette altså at hver og en av oss må forholde oss til 300 forskjellige påloggede systemer der vi skal vedlikeholde egne samtykker. Det høres ut som et mareritt!

Jeg kan derfor ikke skjønne annet enn at det må være et stort case akkurat nå for et nasjonalt, felles samtykkeregister.

Et slikt register burde gjøre det mulig for hver av oss å logge oss på ett sted, se hvilke bedrifter som har data om oss, og så be om å bli slettet, eller endre kontaktpreferanser for hver og en av disse separat. Det ville faktisk være å gi forbruker reell kontoll over sine egne samtykker, noe som jo er del av hele intensjonen med GDPR-lovgivningen.

Og her er det beste:

Det finnes allerede en samtykke-løsning i Altinn, som bl.a. benyttes av finansnæringen, der lånetagere kan logge seg på og tillate for eksempel at banken får tilgang til selvangivelsen i forbindelse med lånesøknad. (Les mer om denne løsningen her.)

Hvor vanskelig er det egentlig å utvide denne ordningen til et nasjonalt samtykkeregister? Man må jo legge til rette for at alle bedriftenes datasystemer kan vaske sine egne kontaktlister mot registeret, men det høres bare ut som et spørsmål om å legge opp relevante API’er, såvidt jeg kan skjønne.

Og kan jeg få lov å minne om enda en gang at dette haster? Alle bedriftene i Norge må ha sine lister lovlige om 7 korte måneder. Hvis ikke, risikerer de bøter i en størrelsesorden som vi nesten aldri før har sett i Norge.

Så enten må alle norske innbyggere belage seg på å få hundrevis av tilsendte brukerpålogginger hver til våren – eller så må vi få en felles registreringordning på plass. Og jeg vet hvilken av de to alternativene jeg foretrekker!

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *