Slik kommuniserer du i en GDPR krise

shutterstock_60586321-360479-editedDen 22. mai behandler Stortinget den europeiske personopplysningsloven, GDPR. I løpet av sommeren innføres loven i Norge. Loven stiller strenge krav til behandling og lagring av personopplysninger, men også til hvordan man skal kommunisere dersom personopplysninger kan være på avveie. GDPR representerer et veiskille i hvordan dataangrep og tap av personopplysninger håndteres. Så langt er nesten alle slike saker gått under radaren. Nå de trolig håndteres i full offentlighet. Spørsmålet er hvor godt forberedt norske virksomheter er på det.

Les mer: Kom i gang med GDPR - 3 enkle steg

GDPR stiller tydelige krav til å varsle Datatilsynet når det er mistanke om at personopplysninger er på avveie. Myndighetene skal varsles innen 72 timer, men også personene som er berørt av at deres personopplysninger er spredd til uvedkommende, skal informeres.

Tøffe konsekvenser

I følge Nasjonal Sikkerhetsmyndighet (NSM) var det 22.000 dataangrep i Norge i 2017. Bare en håndfull av disse er kjent for offentligheten. GDPR endrer trolig på det. De første virksomhetene som må håndtere personopplysninger på avveie under den nye lovgivingen, står overfor potensielt svært krevende krisehåndtering. Ikke bare står tilliten hos kunder og andre nøkkelinteressenter på spill fordi man ikke har evnet å ta vare på personopplysninger på en forsvarlig måte, men krisen må sannsynligvis håndteres under pressens og omgivelsenes kritiske søkelys. Det er flere grunner til at dette er sannsynlig:

  • Norske myndigheter kan av allmennpreventive hensyn velge å statuere et eksempel gjennom hvordan de håndterer og kommuniserer de første
  • Innsynsbegjæringer fra media avdekker saken
  • Virksomhetene har informert personene hvis opplysninger er på avveie, slik de skal gjøre, og saken lekker videre til media eller sosiale medier

 

Dårlig forberedt

En undersøkelse fra BDO viser at bare cirka 40 prosent av norske virksomheter mener de er forberedt å håndtere personopplysninger i tråd med GDPR.

Vår spådom er at langt færre er forberedt på å håndtere krisen og kommunikasjonen om skaden skulle inntreffe.

  • Svært få virksomheter har trent på GDPR som et krisescenario
  • De færreste virksomheter har utviklet kriseplaner med rollekort og sjekklister for å håndtere en GDPR-sak.
  • Nesten ingen har erfaring fra å håndtere personopplysningskriser i Norge.

    Les mer: Slik beskytter du personopplysninger under en krise

Erfaringer fra utlandet

Internasjonalt har man imidlertid en god del erfaring med slike saker. Erfaringene og beste praksis fra utlandet er blant annet:

  • Ikke undervurder og underkommuniser et datangrep eller at personopplysninger er på avveie. Omfanget har en tendens til å øke i underveis i opprullingen. Har man kommunisert et lavt tall i starten av krisen, og dette viser seg å være feil, går det på tilliten og troverdigheten løs.
  • Vær proaktiv og ta styringen på kommunikasjonen med offentligheten. Hvis media eller andre får styre fortellingen, åpner det for spekulasjoner, misfortåelser og en eskalering av krisen. Brudd på varslingsplikten i GDPR vil ytterligere forsterke omdømmekrisen, i tillegg til å eksponere virksomheten for bøter.

    Les mer: Krisekommunikasjon: Slik styrker du bedriftens omdømme under en krise

  • Kommuniserer enkelt og konsist. Unngå å kommunisere med juridisk eller teknisk språk selv om saken er kompleks og full av jus.

 

 

Guide til Risikovurdering ebok_CTA

 

 

Av Claus Sonberg, partner og rådgiver i Zynk

Claus Sonberg er partner i Zynk og kundeansvarlig for flere av Zynks største kunder. Han jobber i hovedsak med strategi og endringsprosesser, krisehåndtering og rådgivning av ledere og toppledere. Sonberg var rådgiver og pressekontakt for 22. juli-kommisjonen etter terrorangrepene i Oslo og på Utøya i 2011. Sonberg er utdannet innen statsvitenskap og journalistikk fra Universitetet i Oslo og Indiana University i USA.

Flere artikler fra denne forfatter

Abonner på bloggen