GDPR-deadline nærmer sig: Risikovurdering og investering af tid
EUs persondataforordning, GDPR, træder i kraft den 25. maj. Virksomheder, der endnu ikke er compliant med regulativet, har sit arbejde foran sig, men det er ikke umuligt at komme i mål til tiden, hvis man prioriterer rigtigt.
Når General Data Protection Regulation (GDPR) effektueres om få uger, er der måske virksomhedsledere, der oplever søvnløse nætter ved tanken om voldsomme bøder, hvis man ikke lever op til regulativet. Men der er måske ikke grund til at miste nattesøvn, fortæller Dansk Erhverv og Bisnode.
Afhængig af størrelsen på ens virksomhed er det ikke sandsynligt, at Datatilsynet kommer og banker på døren lige med det samme. Der er stadig tid til at efterleve EUs persondataforordning – også efter den 25. maj. Men det kræver overblik og forståelse for, hvad firmaet står overfor.
Anders Borg er managing director for Bisnode Danmark A/S, der arbejder med data og analyse til virksomheder. Han fortæller, at virksomheder, der har påbegyndt implementeringen af GDPR i deres hverdag for længe siden, de har en fordel, fordi de har haft god tid til at forstå Datatilsynets fortolkning af persondataforordningen i forhold til virksomhedens daglige håndtering af data. Er man endnu ikke gået i gang med projektet, er det vigtigste, at man starter med at få styr på de data, man opbevarer.
Ledelsen skal på banen
Martin Jørgensen, der er enig med Anders Borg, omtaler medarbejdernes data, leverandørernes og kundernes. Han er advokat og chefkonsulent hos Dansk Erhverv. For ham er de tre former for data noget, firmaet skal have styr på. Han har et relativt syn på virksomheder, der endnu ikke er gået i gang med GDPR. Har man i forvejen styr på datahåndtering og følger landets lovgivning på området, kan man stadig nå at komme i mål inden 25. maj. Men det kræver tid.
”Tid er det væsentligste. Du kan godt købe dig til rådgivning, og der er mange kvalificerede rådgivere på området, og de kan hjælpe med at strukturere processen og gøre det effektivt, men du skal selv investere tid. For det er kun virksomheden selv, der ved hvor de behandler personoplysninger.”
Danmark har i europæisk kontekst en rimelig restriktiv lovgivning omkring brugen af folks data – også i forhold til Sverige eller Norge. Så vi har allerede et højt niveau indenfor dette her.”Anders Borg
Han anbefaler virksomheder, der stadig har et langt stykke vej, før de kommer i mål, at de har en risikobaseret tilgang til GDPR-projektet, hvor de ser på områder, hvor der er mest data samlet, og hvor der er størst risiko for datalæk.
Facebooks store flyttedag
Anders Borg oplever, at danske virksomheder generelt er godt med, når det kommer til databeskyttelse – såfremt de allerede lever op til vores datalovgivning.
”Danmark har i europæisk kontekst en rimelig restriktiv lovgivning omkring brugen af folks data – også i forhold til Sverige eller Norge. Så vi har allerede et højt niveau indenfor dette her.”
Han ser derfor, at danske virksomheder, der i forvejen er compliant med datalovgivningen er bedre stillet, end firmaer der ikke er. Ikke desto mindre peger Anders Borg på tre nye ting, som persondataforordningen bringer med sig den 25. maj: Muligheden for bødestraf på 4 % af firmaets globale omsætning. Datatilsynet skal blive bedre til at kontrollere virksomhedernes håndtering af data. Og opbevarer man data på personer fra andre europæiske lande, kan disse personer kræve mere kontrol over, hvad deres data bruges til.
Sidstnævnte har blandt andet betydet, at Facebook flytter 1,5 milliarder brugeres data fra Irland til USA for at undgå EU-reguleringen, der kommer til at have en indflydelse på, hvordan Facebook kan anvende brugernes data i reklamesammenhænge, skriver Reuters. Selvom de fleste data stammer fra brugere udenfor EU, er de omfattet af GDPR, så længe de opbevares i Irland – på europæisk jord.
Anders Borg vurderer ud fra sine erfaringer med virksomheder, at det primært er små og mellemstore virksomheder, der endnu ikke er gået i gang med GDPR-arbejdet. Anders Borg maner til besindighed overfor disse firmaer. Han ser, at Datatilsynet i første omgang inspicerer de store virksomheder, der opbevarer mange personers data.
Dermed mener Anders Borg ikke, at det er for sent at få EU-reguleringerne implementeret i ens hverdag, men man skal i gang nu. Ikke kun på grund af øget kontrol og sanktioner, men også på grund af bedre arbejdsgange og kundebeskyttelse.