Om få dager, 25. mai, trer den nye personvernloven (GDPR) i EU i kraft. I Norge blir loven gjeldende først i løpet av sommeren, men alle som har kunder eller leverandører i Europa må forholde seg til den fra 25. mai.

Advokatselskapet DLA Piper har i samarbeid med forsikringsmegleren Aon studert de ulike EU-landenes formuleringer av GDPR-reglene. Der kommer det frem at Norge og Finland er de eneste i landene i EU/EØS hvor det er lovlig å tegne forsikring som dekker sanksjoner mot brudd på GDPR.

I kapittel 23 i utkastet til ny personvernforordning foreslår Justisdepartementet at brudd på GDPR ikke skal være straffbart fordi sanksjonenes størrelse antas å ha betydelig forebyggende effekt.

Ny personvernlov (GDPR) General Data Protection Regulation Trer i kraft i 2018 og gjelder også i Norge.

Alle virksomheter som samler inn eller bruker personopplysninger om EU/EØS-borgere må følge reglene. Hovedtrekk Alle selskaper skal ha en forståelig personvernerklæring.

personvernerklæring. Alle selskaper skal vurdere risiko og personvernkonsekvenser.

Alle selskaper skal bygge personvern inn i nye løsninger.

Mange bedrifter må ha eget personvernombud.

Loven gjelder også virksomheter utenfor Europa og underleverandører.

Europa og underleverandører. Alle selskaper skal ha rutiner for avvikshåndtering.

Alle avvik skal varsles Datatilsynet. Det blir ulovlig å skjule avvik.

Alle må kunne oppfylle borgernes nye rettigheter Kilde: Datatilsynet

– Man kan ikke forsikre seg mot kriminelle handlinger, men i den norske formuleringen av GDPR er ikke brudd på loven klassifisert som kriminelt. Derfor er det faktisk lovlig å ha en forsikring som dekker brudd på GDPR, sier Morten Landrø, risikoekspert i Aon Norge til DN.

Aon og DLA Piper skriver i sin guide til forsikringskunder at det vil være lovlig å tilby forsikring for kostnader knyttet til utredning av hendelser, advokatbistand, krav fra tredjeparter etter et brudd og kostnader knyttet til håndtering av et brudd, inkludert pr.

– Det er mange sanksjoner man kan få for brudd på GDPR. Vi ser for oss at en slik forsikring kan være attraktivt for bedrifter som trenger profesjonell hjelp til å rydde opp, ikke hovedsakelig for å betale bøter, sier Landrø.

Forsikrer alt som er lovlig

Forsikringsselskapet AIG er en av aktørene som kommer til å tilby denne typen dekning.

Artikkelen fortsetter under annonsen

– Så lenge det er lovlig ifølge gjeldende regelverk, kan vi forsikre både selve bøtene og hjelpen som trengs for å rydde opp. Vi får en del henvendelser fra selskaper som er bekymret for hva som kan skje under GDPR, sier Virva Ojala, nordisk pressekontakt i AIG.

GDPR-sanksjoner går inn i et stadig voksende kategori for forsikringsselskapene.

– Cyberforsikringer dekker alt digital, it- og nettrelatert. Dette blir en stadig større kategori som mange flere selskaper nå kjøper. GDPR-relaterte dekninger blir en del av dette, sier Ojala.

Hun sier at en slik forsikring ikke er en hvilepute for næringslivet.

– Ingen forsikrer et brennende hus. Vi foretar en risikovurdering av alle kunder, og dersom man ikke er i samsvar med GDPR allerede, blir risikoen for høy. Dette er ikke en mulighet for selskaper med dårlig kontroll på dataene sine til å sluntre unna, sier Ojala.

Detaljert informasjon om prising er vanskelig å få ut av selskapet.

– Prisene blir satt individuelt ut fra risiko og dekning. En stor faktor for prisen er hvor sensitive opplysninger man lagrer og hvor godt man sikrer disse i utgangspunktet. Det er klart det blir dyrere om man lagrer helseinformasjon enn om man bare lagrer navn og adresse for fakturering, sier Ojala.

Selskapet tror en slik forsikring kan hjelpe selskaper med få it-ressurser fra å gå konkurs.

– Opplever man en hendelse hvor persondata kommer på avveier, kan det få store konsekvenser. Hjelp til å rette feilen, informere kunder og beholde omdømmet er både krevende og dyrt for selskaper som ikke har slik kompetanse internt og i verste fall kan det bety konkurs, sier Ojala.

Helt greit å forsikre seg

Datatilsynet har ikke noe problem med at næringslivet kjøper slik forsikring.

– Er det et marked for slike forsikringer, er det helt greit for oss at bedrifter får hjelp av et forsikringsselskap til å rydde opp etter for eksempel avvik, sier Bjørn Erik Thon, direktør i Datatilsynet.

Datatilsynet er bare opptatt av at en slik forsikring ikke skal frita virksomheter fra å ha god kontroll på persondata de oppbevarer.

– Det er vanskelig å tenke seg at forsikringsselskapene vil la dette bli en hvilepute, så jeg tror ikke muligheten til å forsikre seg vil gjøre at næringslivet kan gjøre et dårligere GDPR-arbeid, så da har vi ingen innvendinger, sier Thon.(Vilkår)