Virksomhederne må ikke tænke, at nu er arbejdet overstået. Vores vigtigste råd er at etablere nye processor og fremadrettet løbende forholder sig til håndtering af persondata og elektroniske devices,” siger den erhvervsjuridisk fagchef Sven Petersen.

Det er typisk fastgroede vaner der skal ændes i hele virksomheden

Frem til EU’s persondataforordning træder i kraft den 25. maj, er aktiviteten stor alle steder, men ifølge flere eksperter begynder det egentlige arbejde for alvor bagefter. Det handler om at ændre vaner for altid.

”GDPR (persondataforordningen, red.) er en gamechanger i dansk erhvervsliv. Ikke bare her og nu, men på sigt. Den kræver en ny måde at tænke og arbejde på,” siger Sven Petersen, der er erhvervsjuridisk fagchef i Dansk ­Erhverv.

Erhvervsorganisationen har sjældent haft så meget kontakt med medlemmer som her op til 25. maj men mener, at det egentlige arbejde først begynder herfra.
”Enhver institution eller virksomhed, der har med fødevarer at gøre, har for længst indført procedurer for egenkontrol. Det skal alle nu til i forhold til håndtering af persondata. For en international koncern er omfanget mere opfattende end for en frisørsalon, men opgaven er den samme,” fastslår Sven Petersen.

Forenklet sagt handler det om at forholde sig til data og vurdere, om der er et lovligt grundlag for at behandle dem. Er der ikke et lovligt grundlag for dem, skal virksomheder slette data samt fastsætte procedurer til at håndtere resten.

Prøvetiden begynder nu

Dansk Erhverv er stærk tilhænger af ens EU-regler og er derfor principielt set positivt indstillet over for GDPR men ser også udfordringer for sine medlemmer.
”Vi kommer ikke uden om, at der visse steder har været en for lemfældig omgang med persondata. Især det offentlige har haft en del svipsere. Man kan diskutere, om EU er gået for langt med den nye forordning. Man kunne måske have startet med fokus på personfølsomme oplysninger,” mener den erhvervsjuridisk fagchef, Sven Petersen.

Dansk Erhverv er derfor i dialog med Justitsministeriet og Datatilsynet om konkrete cases som supplement til de udarbejdede vejledninger.

”Både virksomheder og Datatilsynet skal nu prøve sig frem. Der er regler, men vi mangler eksempler, der går mere på tværs – for eksempel inden for rejsebranchen, hvor kunden har mange touchpoints og flere virksomheder får persondata,” nævner Sven Petersen.

Dansk Erhverv ser perioden efter 25. maj som en prøvetid på, hvordan GDPR skal fungere i praksis men påpeger behovet for nye processor uanset hvad.
”Virksomhederne må ikke tænke, at nu er arbejdet overstået. Vores vigtigste råd er at etablere nye processor og fremadrettet løbende forholder sig til håndtering af persondata og elektroniske devices,” siger den erhvervsjuridisk fagchef Sven Petersen.

Det handler om mennesker

Hos vidensdelingshuset IntraNote er der enighed med Dansk Erhverv. GDPR er ikke et IT-projekt og handler ikke om softwarelicenser. Fokus skal være et lag dybere på formålet og det ønskede resultat.

Vi kommer ikke uden om, at der visse steder har været en for lemfældig omgang med persondata. Især det offentlige har haft en del svipsere
Sven Petersen, erhvervsjuridisk fagchef i Dansk ­Erhverv

”GDPR kræver adfærdsændringer, og hvis du for alvor vil have nogen til at ændre vaner, er de nødt til at forstå hvorfor,” understreger Lars Hegaard, adm. direktør hos IntraNote.
IntraNote hjælper virksomheder med at blive klar til GDPR. Det er vigtigt at skabe et overblik over, hvor udfordringerne er. Virksomhederne kan bruge screening eller lignende værktøjer, men Lars Hegaard påpeger, at resultatet af analysen kun er et øjebliksbillede – en skadesopgørelse. En hverdag med GDPR starter efter analysen.

”Virksomhederne skal sætte systemer op, så procedurer for datahåndtering fungerer. Det kan for eksempel være håndtering af ansøgninger, der indeholder personoplysninger. Tag en beslutning om, hvor de skal ende henne, og om de skal håndteres manuelt eller automatisk,” guider Lars Hegaard.

Han ser GDPR som en kærkommen lejlighed til at få luget ud i dårlige vaner som fx intern rundsendelse af mails, fordi forordningens regler forhindrer, at alt som hidtil deles ukritisk. I stedet bør dokumenter placeres et sted, hvor deres videre liv bliver håndteret automatisk og kun relevante parter kan tilgå dem. GDPR er derfor en glimrende businesscase for at effektivisere processer, men awareness er stadig det vigtigste sted at starte.

”Du taber, hvis du kun fokuserer på regler og konsekvenser og trusler om bøder. Det skaber ikke involvering. Det handler om mennesker og om at få medarbejderne til at forstå nødvendigheden af at have respekt for, hvordan de behandler persondata – ligesom de gerne vil have at andre passer på deres,” afrunder Lars Hegaard fra IntraNote.
, siger han.

Sven Petersen, erhvervsjuridisk fagchef i Dansk ­Erhverv