GDPR och PR, del 1
Inom framförallt IT-branschen pågår det nu en omfattande diskussion om vad det nya EU-direktivet GDPR, General Data Protection Regulation, kommer att innebära. Kraven på företagen förändras i grunden. Det nya direktivet träder i kraft under våren 2018. EUs syfte är att skydda den enskilda individen och öka säkerheten. Vi som individer får större inflytande över hur vår data används och vi ska få mer information om vilken data som samlas in om oss. Dessutom måste företagen höja sin säkerhet och rapportera in om det sker några attacker mot företagens nätverk.
Företag som inte följer GDPR drabbas av böter. Böterna kan vara upptill 4 procent av omsättningen eller 20 000 000 Euro.
Att IT-branschen analyserat GDPR utan och innan är helt naturligt. Men hittills har få inom kommunikationsbranschen funderat över vilken effekt som det nya direktivet kommer att få för oss som kommunikatörer. Jag har nedan försökt sammanfatta de utmaningar som vi på JMWGolin ser framöver:
Rapporteringsskyldigheten av intrång kräver förberedelser. GDPR innebär att företag måste rapportera om det skett ett intrång i deras nätverk eller datasystem inom 72 timmar. Rapporterna blir offentlig handling. Med största sannolikhet kommer vi ha journalister som fortlöpande bevakar de rapporterna. Vi måste alltså ha rutiner för att kommunicera intrång externt, information som tidigare stannat innanför företagens väggar blir nu alltså offentlig. Vi kommer behöva svara på frågor som:
- Hur omfattande var intrånget?
- Vad kom förövarna över?
- Vem ligger bakom intrånget?
- Vilket värde hade informationen?
- Vilken effekt kommer intrånget få på verksamheten?
- Kommer intrånget att påverka företagets affär och intäkter?
- Hur stor blir företagets kostnad för intrånget?
- Hur var intrånget möjligt?
- Tar ni inte er säkerhet på allvar?
- Vem är ansvarig?
- Vad gör ni för att undvika att något liknande inträffar igen?
Som kommunikatörer måste vi också vara beredda på hantera frågor som rör datainsamlingen och register. Vi måste tydligt redogöra varför vi samlar data om våra kunder, besökare etc. Vi måste också vara beredda på att de som så önskar ska kunna få sin data raderad – du har rätten att bli glömd.
Ur ett kommunikationsperspektiv så bör vi alla vara beredda på att ganska snabbt efter direktivet trätt i kraft så kommer granskningen börja. Följer de svenska företagen det nya direktivet? Olika branscher kommer att granskas. Vilka branscher är bäst respektive sämst på att efterleva det nya direktivet?
Vi behöver också vara beredda på ett ökat antal förfrågningar från konsumenterna kring vilken data som finns lagrad om dem. Vi behöver säkerställa att kommunikationen funkar och är tydlig.
I näst bloggpost kommer jag ta upp konsekvenserna för oss som PR-konsulter. Hur påverkar GDPR vårt dagliga arbetet? Är det t ex tillåtet att ha medielistor? Kräver GDPR nya kompetenser?
/Björn Mellstrand