En vegg av brutal virkelighet har truffet mang en ambisiøs akademiker som trodde han skulle utgjøre en forskjell og redde arbeidsgiveren fra den grusomme skjebnen som venter når man ikke har full kontroll på compliance. Utfallet er at redning faktisk er nødvendig, men ikke helt som forventet. Det er de ansatte som må reddes fra vedkommende og hans ambisjoner. Til slutt må også en utbrent compliance-offiser reddes.
Compliance-offiseren ser på alle andre som idioter som ikke forstår risikoen ved manglende etterlevelse. Samtidig opplever resten av organisasjonen, inkludert ledelsen, at han snakker et språk ingen forstår, med overkompliserte krav og tåketette instrukser. Det hele virker fjernt fra praktiske og kommersielle behov. I stedet for å være en støtte, oppleves han som en bremsekloss.
Dette er ikke en uvanlig situasjon i norske virksomheter. Men må det være slik?
Jeg har flere ganger blitt hentet inn utenfra for å hjelpe bedrifter ut av nettopp denne typen fastlåst situasjon. Ofte er det et kommersielt behov som til slutt får begeret til å renne over.
Så hva er compliance egentlig? Bare støy? Eller finnes det faktisk reell verdiskaping?
Så er spørsmålet om Compliance bare er støy, eller finnes det noe reell verdiskapning i det?
Før vi tar fatt på spørsmålet er det greit å rydde i skapet, og definere hva vi prater om her. Compliance er noe har lært å sette sammenheng med direktiver fra EU med rettslige rammer som fastsetter standarder og regler som virksomheter i EU og ethvert Norge må innføre for å sikre at de er i samsvar med loven og andre reguleringer. Disse direktivene omfatter et bredt spekter av områder, inkludert produktsikkerhet, miljøregulering, datasikkerhet, og finansielle tjenester.
Direktiv som omhandler markedsføring er min kopp med te, og da spesielt praktisk håndtering GDPR (General Data Protection Regulation). Derfor vil jeg bruke GDPR som illustrasjon her. Men poengene er gjelden over hele spekteret.
GDPR kan bidra til strategiske løsninger, og dermed bidra til verdiskaping. De beste strategene innen datadrevet markedsføring legger sitt fundament her. Det er enklere å gå til skredderen først, fremfor å presse en alt for stor hånd ned i en trang hanske.
Du kan heller ikke kalle deg en ekspert på data drevet markedsføring hvis du ikke har kontroll på GDPR. Så enkelt er det.
Videre er GDPR viktig når man ønsker kunders og andres tillit.
Men før du kan utnytte denne strategiske edgen, må du unngå å gå i fellene som gjør Compliance til bedriftens sorte hull. Derfor skal du her få en liste med hva du må gjøre for å lykkes
- Du må bidra til at bedriften når sine kommersielle mål
- Du ble ansatt for å å finne løsninger, ikke skape problemer
- Du må forstå og jobbe aktivt med kost/nytte knyttet til risiko
- Du må snakke et språk de ansatte forstår
- Du må prioritere, og finne rette balansen mellom «minimum compliance og maximum compliance».
- Du må være smart. Ikke lag snubletråder for deg eller bedriften
- Plasser ansvar hos prosesseierne
Du må bidra til at bedriften når sine mål
Jeg våger å påstå at mange ansatte tar arbeidsplassen sin for gitt. De tror pengeskapet er bunnløst, og at det knapt finnes grenser for hva man kan bruke tid og ressurser på. Interne møter og prosjekter virker meningsfulle, uansett hvor lite verdi de faktisk skaper.
Våkn opp. Jo før du innser at også du er en brikke i jaget etter avkastning, desto bedre. Du ble antagelig ansatt nettopp for at andre skal slippe å bekymre seg for dette, ikke for at du skal minne dem på det, og slett ikke for å få dem til å bekymre seg enda mer.
Men du kan heller ikke synke i jorden. Du må rettferdiggjøre din plass. Rollen din må være en støtte for verdiskaping, ikke en distraksjon fra den.
Du ble ansatt for å løse problemer, ikke skape dem
Dette gjør du best gjennom å fremstå som en person som er pragmatisk og i stedet forteller om alt som ikke kan gjøres, forteller hvordan det kan gjøres likevel! Søk løsninger. Hvis markedsavdelingen vil utnytte kundedata, så må hjelpe dem med å finne ut hvordan!
Du må forstå og jobbe aktivt med kost/nytte knyttet til risiko
Kommersielle mål og compliance går ikke alltid godt overens. Et eksempel er den nye ekom-loven vi fikk i 2025. Det er ingen tvil om kravene i denne loven vil innbære at markedsføreren får mindre målgrupper å jobbe med når de skal annonsere på tredjeparts-nettsteder. Nå er er det et halvt år siden lovendringen kom, og fortsatt ser vi at store norske merkevarer ikke har tilpasset seg lovgivingen, og bruker det som kalles manipulerende design for å styre kundene til å velge markedsføringssamtykkene. Om dette skyldes en kalkulert risiko eller uvitenhet er uvisst. Mest sannsynlig det siste dessverre. Det er uansett ikke en risiko jeg ville tatt. Cookie-banner og personvernerklæring er et speilbildet på tingenes tilstand, og en del av brandingen din. Når dette ikke ser bra, så er det ikke vært å gjøre det. Da er vi også inne på en annen dimensjon rundt risiko. Det første vi tenker på er den økonomiske, gjennom at vi risikerer bøter eller at samtykker blir gjort ugyldige. Men en vel så viktig risiko er knyttet til omdømme. Man skulle tro at den jevne markedsfører var opptatt av omdømme, men når det gjelder eget reir så ser vi at det ikke stemmer.
Noen ganger kan risiko være lønnsomt. Men jeg har sett det gang på gang: Det er ikke lønnsom risiko som preger norske virksomheter i de bransjer jeg jobber, men unødvendig risiko! Unødvendig risiko er aktiviter man gjør som ikke har noe effekt for virksomheten. Et klassisk tilfelle fra GDPR er hvor bedrifter henter inn tredjepartsinformasjon (uten samtykke) om kundene sine, som kjønn, inntekt, antall barn uten at de faktisk bruker opplysningene til noe som helst. De tar en stor risiko, men har ingen nytte av det. De vet ofte ikke at de tar denne risikoen. De vet knapt at de får over dataene! Det samme kan sies om deling av data til tredjeparter. Vi har sett eksempler på at de som har fått bøter ikke vet at de delte data. Dette er eksempler på risiko som man må identfisere, og kutte ut.
Hva med lønnsom risiko?
Her er det verdt å tenke som en investor. Sørg alltid for «Margin of Safety.» Med dette mener jeg at du må ha kontroll på nedsiden. Er det vi skal gjøre i en gråsone, eller direkte rødt kort? Hva blir konsekvensene?
Personlig synes jeg ikke du skal tenke på lover, regler og tilsynsmyndigheter først. Du skal tenke på hva kundene dine vil mene er greit. Hvis ikke kundene dine synes det du gjør er greit, så synes garantert ikke myndighetene det er greit heller.
Hvis vi først skal gå inn i gråsoner må vi sørge for at vi informerer tydelig om hva vi gjør, og at de registrerte vet om sine reservasjonsmuligheter. Eksempler på slike gråsoner kan være der lover og rettspraksis ikke er tydelig nok. Et eksempel som går igjen er definisjonen av et «eksisterende kundeforhold» og dets grenser. I noen få definerte tilfeller har man næmlig mulighet til å unngå å innhente forhåndssamtykke til å sende elektronisk markedsføring til egne kunder. Her har forbrukertilsynet skrevet en god veileder, men selv men denne på plass er det gråsoner man kan utnytte. Hva disse er, og hvordan man kan utnytte dem vil jeg ikke utlevere til andre enn mine kunder. Utforming av cookie-banners er et sted for det syndes mye. Ny ekomlov og tilhørendeveileder fra forbrukertilsynet har fått dramatiske konsekvenser for hvem markedsføreren kan rette digitale annonser mot. Risikoen kan være lønnsom fordi om man mister samtykkene, kan man bare be om den på nytt neste gang kunden logger på. Men her må man også tenke på omdømme-risiko. Cookiebanneret er veldig synlig, og for en seriøs merkevare ser det selvsagt ikke bra ut at man ikke følger loven. Med andre dette er et krevende landskap å navigere, men det er faktisk jobben din. Hvis du skal ha en maxium compliance-linje med null risiko, er jeg redd du vinner få venner internt. Du må finne måter å løse denne balansegangen mellom å være compliant og bedriftens måloppnålse på.
Du må snakke et språk de ansatte forstår
Den raskeste måten å miste de ansatte på, er å snakke over hodene deres med et språk fullt av faguttrykk, paragrafer og innforståtte referanser. Glem det. Du må bruke et enkelt språk og alltid sette compliance inn i konteksten av det de ansatte faktisk gjør i sin hverdag.
Dessverre ser jeg altfor mange eksempler på dårlig kommunikasjon. Det er ofte så komplisert og fjernt fra virkeligheten at det nærmer seg det parodiske.
Du må prioritere og finne rette balansen mellom minimum compliance og maximum compliance.
eg har tidligere snakket om dette i sammenheng med kost/nytte-vurderinger knyttet til risiko. Men det finnes et annet viktig aspekt også. Når du ser inn i en organisasjon med et trent blikk, vil du oppdage tusenvis av små og store feil. Spørsmålet er om du skal forsøke å rette opp alt, eller om du skal sirkle inn det viktigste og starte der.
Tenk deg en akse med minimum compliance i den ene enden og maximum compliance i den andre. Du kommer til å befinne deg et sted på denne aksen. Det viktigste er at du ikke havner under minimum. Det dere gjør må være godt nok, og det må tåle et tilsyn. Men dere trenger ikke bli verdensmestere på alle områder.
Noen områder er kritiske, andre mindre viktige. Prioriter det viktigste først, og sørg for at det er vanntette skott der. Deretter kan du jobbe deg videre nedover prioriteringslisten.
Du må være smart. Ikke lag snubletråder for deg eller bedriften
Dette rådet er basert på egen erfaring. Når man begynner å jobbe med compliance, har man ofte store ambisjoner. Man lager detaljerte regler, omfattende instrukser og høye krav. Selv startet jeg med å lage personvernerklæringer som var både grundige og imponerende. Ingen skulle kunne påstå at vi ikke informerte godt nok. Problemet var bare at de ble et mareritt å holde oppdatert.
I dag lager jeg erklæringer som er tydelige, men ikke mer detaljerte enn nødvendig. Jeg ramser ikke opp hvert eneste markedsføringsverktøy vi bruker. I stedet beskriver jeg formålet, behandlingsgrunnlaget og hvordan vi bruker slike verktøy generelt. Ideelt sett kunne jeg kanskje hatt en fullstendig liste over alle systemer og databehandlere, men det blir raskt en stor mengde informasjon å vedlikeholde. Et alternativ er å informere om at kunden kan få tilgang til denne informasjonen ved forespørsel, eller å lenke til en separat liste som kan oppdateres løpende.
Poenget er enkelt: Unngå å lage snubletråder for deg selv. Som nevnt tidligere, du trenger ikke være best – bare god nok.
Unngå bastante formuleringer om hva du alltid eller aldri gjør
Det finnes selvsagt ting man aldri skal gjøre. Du deler for eksempel ikke kundeopplysninger med tredjeparter uten samtykke. Men mange detaljer trenger du ikke å binde deg til. Det er ofte uklokt å skrive noe som låser deg unødvendig.
Et eksempel: Hvis du skriver «Vi har to revisjoner årlig, i januar og august», har du forpliktet deg. Det er bedre å skrive noe som gir fleksibilitet, som «Vi har som mål å gjennomføre årlig revisjon.» Da sier du verken når, hvor mange eller om du faktisk gjennomførte revisjonen. Det gir rom for skjønn og tilpasning, uten å svekke troverdigheten.
Plasser ansvar hos prosesseierne.
Du kan ikke redde verden alene. Du kan heller ikke ha full kontroll over alt som skjer i en virksomhet. Forsøker du, ender du sannsynligvis med å bli utbrent. Løsningen ligger i behandlingsprotokollen. Grupper områder og prosesser, og plasser ansvaret hos de respektive eierne. Husk at det øverste ansvaret i virksomheten ikke ligger hos deg, men hos daglig leder, og sekundært styret. Daglig leder skal kjenne et visst ubehag når personvernsrapporten legges frem for styret hvert år. Sørg for at denne rapporten faktisk blir levert. Når ansvaret er tydelig plassert, vil du også få den støtten du trenger fra ledelsen til å følge opp prosesseierne. Det er de som skal komme til deg for hjelp. Ikke motsatt.
Med disse syv rådene, er det bare å kaste seg ut i det. Personvernarbeidet vil antagelig bli bedre, men viktigst du vil lykkes personlig.
Intelligent Kapital 
Legg igjen en kommentar