Mønsteret vi har sett før
EU-reguleringer følger en forutsigbar bane. År med vage diskusjoner. Gradvis politikkutforming som de fleste bedrifter ignorerer. Så plutselige håndhevingsfrister som utløser panikk i hele bransjen.
GDPR fulgte denne veien. Forordningen ble vedtatt i 2016, men de fleste bedrifter tok den ikke på alvor før månedene før fristen i mai 2018.
DPP følger samme kurve akkurat nå. Økodesignforordningen for bærekraftige produkter (ESPR) trådte i kraft i juli 2024. Delegerte rettsakter som definerer spesifikke krav blir vedtatt gjennom 2027 og 2028. De fleste bedrifter er fortsatt i fasen «dette gjelder nok ikke oss».
Det gjør det.
Read this article in English 🇬🇧
Hvor GDPR og DPP kan sammenlignes
Begge reguleringene påvirker hele verdikjeden din. GDPR gjorde deg ansvarlig for hvordan leverandørene og partnerne dine håndterte data. DPP gjør det samme for produktinformasjon. Din etterlevelse avhenger av deres.
Begge krever infrastruktur, ikke bare retningslinjer. Du kunne ikke løse GDPR ved å skrive en personvernerklæring og kalle det ferdig. Du trengte systemer for samtykkehåndtering, innsynsbegjæringer og varsling ved databrudd. DPP krever tilsvarende investeringer i systemer for produktdata.
Begge gjelder på tvers av landegrenser. GDPR gjelder for alle selskaper som behandler EU-borgeres data, uansett hvor selskapet befinner seg. DPP gjelder for alle produkter som plasseres på EU-markedet, uansett hvor de er produsert. Selger du til Europa, følger du europeiske regler.
Begge berører alle avdelinger. GDPR var ikke bare et juridisk problem eller et IT-problem. Det påvirket markedsføring, salg, HR og kundeservice. DPP krever tilsvarende koordinering mellom produktutvikling, supply chain, compliance og kommersielle team.
Hvor DPP er annerledes
Sammenligningen har sine begrensninger. På noen måter byr DPP på utfordringer GDPR ikke hadde.
GDPR handlet fundamentalt om å begrense tilgang til informasjon. Begrens hva du samler inn. Beskytt det du lagrer. Slett det du ikke lenger trenger. Målet var å skjule data fra uvedkommende.
DPP snur denne logikken på hodet. Målet er å eksponere informasjon, å gjøre produktdata transparente og tilgjengelige for forbrukere, myndigheter og partnere i verdikjeden. Selskaper som brukte år på å bygge murer rundt dataene sine, må nå bygge vinduer.
GDPR kunne stort sett løses med dokumenter og digitale arbeidsflyter. Personvernerklæringer. Samtykkeskjemaer. Databehandleravtaler. Viktig, men til syvende og sist papirarbeid.
DPP krever integrasjon med fysiske produkter. Hvert regulert produkt trenger en databærer, enten QR-kode, NFC-brikke eller RFID-tag, koblet til en digital post med standardisert informasjon om materialer, opprinnelse, bærekraftsmålinger og samsvarsdokumentasjon. Dette er operasjonell infrastruktur, ikke dokumentasjon.
Hvorfor små og mellomstore bedrifter bør følge med
Store selskaper mobiliserte compliance-team og satte av betydelige budsjetter til GDPR. De slet, men de klarte seg. Små og mellomstore bedrifter sto overfor de samme kravene med en brøkdel av ressursene.
En undersøkelse blant europeiske småbedrifter viste at over halvparten brukte mellom 1 000 og 50 000 euro på GDPR-etterlevelse. Likevel var rundt halvparten fortsatt ikke helt sikre på at de oppfylte grunnleggende krav, som å beskrive databehandling på et forståelig språk (GDPR.eu Small Business Survey, 2019).
Byrden falt uforholdsmessig på de mindre aktørene. Forskning som analyserte bedriftsresultater i 61 land, fant at GDPRs negative påvirkning på overskudd var dobbelt så stor for små teknologiselskaper sammenlignet med gjennomsnittet, mens store plattformer ikke opplevde noen betydelig negativ effekt og faktisk tok markedsandeler mens mindre konkurrenter slet (Chen et al., CEPR, 2022).
Mange småbedrifter endte opp med å betale for retningslinjer de ikke helt forsto, implementere verktøy de ikke kunne vedlikeholde skikkelig, og håpe at tilsynsmyndighetene ikke la merke til hullene. DPP risikerer å gjenta dette mønsteret.
Etterlevelse eller mulighet
Ikke alle selskaper tilnærmet seg GDPR på samme måte.
Noen behandlet det utelukkende som en compliance-byrde. De gjorde minimumskravet, ofte i siste liten, og fikk ikke noe annet ut av det enn å unngå bøter.
Andre så en mulighet. De brukte GDPR som en katalysator for å rydde opp i datapraksisen sin, effektivisere systemene og bygge kundetillit gjennom reell åpenhet. Disse selskapene kom ut med bedre drift og sterkere markedsposisjoner.
Det samme skillet er i ferd med å vokse frem med DPP. Selskaper som ser det som en avkrysningsboks, vil investere minimalt og ikke få noe utover regulatorisk etterlevelse. Selskaper som ser det som infrastruktur, vil bygge systemer som forbedrer driften, styrker kunderelasjoner og skaper konkurransefortrinn.
Vi har skrevet utfyllende om disse mulighetene. DPP-infrastruktur kan løse operasjonelle problemer du allerede lever med, fra spredt produktdokumentasjon til beskyttelse mot forfalskninger til å vinne kontrakter som krever bærekraftsdokumentasjon.
Selskapene som slet mest med GDPR var de som ventet til kravene var endelige før de begynte. Med DPP ser vi den samme tilnærmingen. Det vil sannsynligvis gi samme resultat.
Kamil Lillemoe Adamczyk, Partner at DPPA
Hva du kan gjøre annerledes denne gangen
Hvis organisasjonen din gikk gjennom GDPR, har du institusjonell hukommelse om hva som fungerte og hva som ikke fungerte.
Bruk den.
Start før kravene er endelige. Det overordnede rammeverket er klart. Produktkategorier er identifisert. Tidslinjer er publisert. Å vente på at hver delegerte rettsakt skal vedtas, betyr å starte når konkurrentene dine er ferdige.
Velg verktøy fremfor konsulenter. Den beste investeringen er i systemer som genererer løpende verdi: plattformer som håndterer produktdata, automatiserer opprettelse av produktpass og integrerer med eksisterende arbeidsflyter.
Bygg infrastruktur som tjener bedriften din, ikke bare myndighetene. Disiplinen som kreves for DPP-etterlevelse, å organisere produktdata, spore verdikjeder, dokumentere materialer og bærekraftsmålinger, er den samme disiplinen som får bedrifter til å fungere bedre. Selskaper som erkjenner dette, vil behandle DPP som operasjonell forbedring, ikke regulatorisk overhead.
Vinduet er åpent
De neste to årene vil avgjøre hvilke selskaper som leder og hvilke som må løpe etter.
Hvis du lærte noe av GDPR, er det at tidlig forberedelse slår panikk i siste liten. Tidslinjene blir strammere. Konkurrentene som beveget seg først, tar de enkle gevinstene.
DPP er din andre sjanse til å gjøre dette riktig.
Klar for å utforske hva digitalt produktpass betyr for din bedrift? Kontakt oss for en uforpliktende samtale.