Berlingske Business
16:58Volkswagen-aktien falder efter regnskab

Nye regler for persondata

Topbillede
Foto: Scanpix

I 2018 træder EU’s regler om persondata i kraft. Der stilles skrappere krav til håndtering af kundedata og til, hvordan virksomheder må bruge persondata til blandt andet markedsføring.

Denne artikel er en del af annoncetillæget 'Digitalisering af erhvervslivet'. Se alle artikler her

Af Dansk Erhverv

EU's persondataforordning træder i kraft 25. maj 2018. Det betyder skrappere krav til håndtering af persondata – og stiller større krav til overblik, håndtering, samtykker og aftaler for virksomheders håndtering af persondata både internt, men også i forhold til it-leverandør. Borgeren får en række nye rettigheder som fx retten til at blive glemt og dermed slettet fra virksomhedens it-systemer samt retten til at få sin kundedata med sig. Dansk Erhverv har været rundt i landet med en persondatabus for at sætte fokus på området over for landets virksomheder.

»Vi taler om nogle meget store forandringer. Ingen har været vant til at tænke persondata på denne måde før. Der er store krav til dokumentation for, at man behandler data korrekt, så det har været vigtigt for Dansk Erhverv at gøre vores medlemmer opmærksomme på de nye regler,« fortæller chefkonsulent Martin Jørgensen, som har været land og rige rundt for at fortælle om reglerne.

»Vi oplever, at persondataforordningen får opmærksomhed på højeste niveau i erhvervslivet. Det er ikke bare den yngste juniormedarbejder fra IT-afdelingen, som kommer til vores seminarer og undervisning i persondata. Det er til tider folk fra direktionen,« siger Martin Jørgensen.

Store bøder
Alle data, der kan henføres til en person, er som udgangspunkt omfattet af de nye regler. Det betyder, at de data, som en virksomhed indsamler om kunderne – det kan være, hvad kunder søger  på, og hvad de køber – er omfattet. Og hvis de ikke behandles ordentligt, kan der vanke store bøder. Bøderammer bliver udvidet betragteligt til op mod 20 mio. euro eller fire procent af den globale omsætning. Hidtil har den største bøde på området været på 25.000 kr.

»For mange virksomheder er det en større opgave at blive klar til de nye regler, også selvom meget er baseret på de eksisterede regler. Årsagen er især forordningens krav til dokumentation. Fra 25 maj er det ikke nok kun at efterleve reglerne, virksomhederne skal også kunne dokumentere, at det gør der.  Lidt forsimplet kan det sammenlignes med den fremgangsmåde, vi kender inden for fødevaresikkerhed, hvor fødevarevirksomheder gennem egenkontrolprogrammer løbende påviser, at deres håndtering sker korrekt. Så der er rigtig meget, som skal være klar til 25 maj 2018,« siger Martin Jørgensen.

 


 

Vi har spurgt seks fagfolk om deres gode råd til erhvervslivet om håndtering af den kommende EU-persondataforordning, og hvad virksomhederne skal være særligt opmærksomme på.


Mads Nygaard Madsen, partner, Horten

Hvordan kommer man som virksomhed i gang med at blive klar til GDPR?
Et naturligt sted at starte er at få kortlagt, hvilke personoplysninger virksomheden behandler. Hvor kommer data fra, hvordan håndteres de, og hvad er formålet med behandlingen?

Med en dataflow-analyse kan man få et overblik over behandlings-aktiviteterne og forholde sig til de krav, forordningen stiller. Eksempelvis for at kunne vurdere, om der behandles oplysninger i en situation, hvor det er nødvendigt med et samtykke fra de pågældende personer for, at behandlingen er lovlig. Eller for at identificere, om der er eksterne leverandører, som foretager dele af behandlingen for virksomheden. Har man det, skal man have en skriftlig databehandleraftale med dem.

Et gennemgående princip i forordningen handler om accountability og omfatter grundlæggende to ting:

For det første skal man have truffet foranstaltninger, som gør, at den måde, man behandler personoplysninger på, lever op til forordningens krav. Det handler meget om at tænke persondatabeskyttelse ind hele vejen rundt i virksomheden.

Det er dog ikke nok at leve op til kravene. Man skal også kunne påvise, at man lever op til dem. Dokumentation er således vigtig.

For mange virksomheder vil det være oplagt at få hjælp udefra til arbejdet med at opnå compliance. Det er dog vigtigt, at virksomheden selv er meget aktiv i arbejdet. Compliance er ikke bare en engangsøvelse, men en løbende proces, som skal indlejres i virksomheden.

 


Arne Skovhaug,  direktør for forretningsudvikling, CapaSystems

Hvad er i din erfaring virksomhedernes største udfordring med at få styr på persondata og kunne leve op til GDPR?
Skygge-it er i højeste grad en udfordring for mange virksomheder. Begrebet dækker over fænomenet, hvor forretningsenhederne køber software-as-a-service på nettet uden om it-afdelingen - eksempelvis en tjeneste til at analysere marketing-data. Når det sker, omgår de virksomhedens governance-regler, der blandt andet skal sikre, at der er styr på, hvor følsomme persondata ender henne. Så står it-afdelingen i en situation, hvor den mangler viden om de data og it-tjenester, der bruges. Dermed kan man heller ikke opfylde kravet i persondataforordningen om at have overblik over, hvor data ligger henne geografisk eller have underleverandør-aftaler som sikrer, at kravene omkring datasikkerhed er overholdt.

Alle virksomheder, som jeg har mødt, erkender, at de har det problem. De ved godt, at det eksisterer, men har som regel ikke en effektiv måde at håndtere det på.

Løsningen er at finde en balance i det at lægge restriktioner på medarbejdernes anvendelse af it-tjenester. Vores erfaring er, at man med udgangspunkt i slutbrugerens it-anvendelse kan skaffe sig et overblik og forebygge, at der sker nogle uhensigtsmæssige ting. Har du ikke det fulde overblik, så ved du heller ikke, hvor de blinde vinkler er.

 


Kristian Boe Helweg Hansen, GDPR rådgiver, DP Service

Hvor kniber det for mindre virksomheder at blive klar til persondataforordningen?
Vi ser typisk, at brancheorganisationer ikke bidrager meget til at få løst opgaverne med at leve op til persondataforordningen. De udstikker nogle meget overordnede retningslinjer til virksomhederne, som har svært ved at se, hvordan det passer ind i deres egen dagligdag. Det er et problem, fordi virksomhederne således ikke får information om de meget specifikke problemer, de står med og derfor risikerer at eksponere deres kunder eller medarbejderes data for en sikkerhedsrisiko.

Et eksempel er medarbejderudviklingssamtaler, hvor det typisk er følsomme oplysninger, der kommer frem. Disse oplysninger skal opbevares på en sikker måde. Næste problem er, at virksomhederne skal finde ud af, hvor deres it-leverandører er placeret. Det kan være svært, fordi mange køber deres digitale tjenester ude i byen. Har man købt et CRM-system, som ligger i Litauen, men bliver serviceret i Ukraine, så har man et problem med overførsel af kundedata til et tredjeland.

Det kræver nogle fagkyndige at kunne stille kvalificerede spørgsmål til it-leverandørerne og gå virksomhedens interne processer igennem. Typisk handler det om at få ryddet op i data og eksempelvis undgå, at kundeoplysninger står i en mappe, alle kan tage ned fra hylden og kigge ned i. Og så handler det også om at spørge sig selv, om man egentlig har brug for så mange oplysninger om kunderne.

 


Mads Sørensen, virksomhedsjurist, Siteimprove

Hvad mener du, er den største misforståelse omkring EU’s kommende persondataforordning (GDPR)?
Mange håber, at der er et quick fix, og at de blot kan købe nogle hurtige løsninger. Virksomheder oplever i disse dage at blive bestormet af en hær af lykkeriddere i form af rådgivere, der råber op om store bøder på procentdele af omsætningen, og at de kan garantere GDPR compliance. Det er useriøse skræmmekampagner - ingen kan garantere eller tilbyde generel compliance. Det kan først ske efter en tung, intern omdannelsesproces, hvor vores erfaring så er, at hjemmesiden hurtigt bliver overset, og at næsten alle bliver overraskede over hvor meget persondata, der faktisk findes på deres hjemmeside.

For at leve op til GDPR i forhold til ens hjemmeside, skal man blandt andet have en proces for, hvordan data bliver lagt op på og tages ned fra ens hjemmeside, og hvor data eksisterer. Som virksomhed vil man kun kunne efterleve GDPRs regler om EU-borgeres ret til f.eks. at få deres data korrigeret eller slettet, hvis man har det fulde overblik over persondata på hjemmesiden. Derfor har vi blandt andet udviklet værktøjer til at hjælpe virksomheder og offentlige myndigheder med at sikre overblik og kontrol med visse typer persondata.”

 


Morten Boel Sigurdsson,  CEO, Omada

Hvilke ændringer, som GDPR medfører, bliver de mest betydningsfulde for dansk erhvervsliv og konkurrenceevne?
Det bliver i stigende grad et bestyrelsesanliggende at indtænke balancen mellem forretningsmulighed og risiko, fordi der er så voldsom en konsekvens ved ikke at have styr på datasikkerheden. Man har altid skullet passe på data, men nu er konsekvensen målbar og meget ekstrem, så det er noget, man skal tage stilling til og vil blive konfronteret med gennem databehandler- og samarbejdsaftaler. Alle, der samarbejder enten direkte eller deler persondata, skal have et juridisk aftalegrundlag, som regulerer samarbejdet. Store og mindre virksomheder kommer til at slås med liability-afgrænsningen i databehandleraftalerne. Liabilitien i aftalerne får et ordentligt hak opad.

Udfordringen er, at man ikke kan forsikre sig mod en bøde, det eneste værn, man har, er at få styr på processerne og det IT-tekniske, så man har et godt forhandlingsgrundlag og kan minimere risikoen mod en hændelse og de krav, der kan komme fra en samarbejdspartner, som måske er større for en selv. Er den større samarbejdspartner ansvarlig for fire procent af sin omsætning, kan det være ødelæggende hvis man som mindre samarbejdspartner ender med erstatningsansvaret.

 


Mette Blanner, seniorkonsulent Per Løkken, partner hos PersondataSupport

Persondataforordningen kræver overblik
Overblik over data er centralt når det kommer til at opfylde EU's persondataforordning, også kaldet for GDPR. »Overblik er nødvendigt for at virksomheden kan definere indsatsområder omkring behandling af persondata f.eks. omkring adgangskontrol, sletteprocedurer og så videre,« siger Per Løkken, partner hos PersondataSupport der har specialiseret sig i at hjælpe virksomheder med at blive klar til GDPR.

Specielt sletteprocedurerne er et ømt punkt for mange
»Vi oplever næsten altid at problemet er at ting ikke bliver slettet, eller ikke bliver slettet korrekt. Ikke mindst på grund af dataspredning. Data bliver delt mellem mange medarbejdere f.eks. via mail, og det gør det svært at slette data når det er påkrævet,« forklarer Mette Blanner, seniorkonsulent hos PersondataSupport.

Derfor er det vigtigt at gøre ting smartere og få struktureret data og arbejdsprocesser. På den måde skabes der overblik. Sletning er dog kun ét af mange krav i GDPR.

»Det er også vigtigt at sikre den løbende kontrol og vedligeholdelse, f.eks. med et værktøj som vores GDPR-portal,« slutter Mette Blanner.

 

Denne artikel er en del af annoncetillæget 'Digitalisering af erhvervslivet'. Se alle artikler her

Forsiden lige nu

Til forsiden

Business anbefaler

Gratis breaking news på mobilen

Send BUSINESS BREAK til 1929 og modtag en SMS med en bekræftelse. Det er gratis - tilmelding koster kun almindelig takst. Du kan til hver en tid afmelde tjenesten igen.

Afmeld: sms BUSINESS BREAK STOP til 1929

Tilmeld Afmeld

Business Nyhedsbrev

Få breaking news og det bedste overblik fra Business.dk morgen og eftermiddag - eller modtag hver uge et prioriteret overblik over investorstof, privatøkonomi, ejendomme, digtal, karriere, media og vækst.

Se alle nyhedsbreve
 

Business i billeder

Se alle

BrandView Hvad er Brandview?

BrandView er en service fra Berlingske Media, hvor virksomheder har mulighed for at kommunikere deres specialviden direkte til brugere og læsere af Berlingske.
Dette kan gøres på print i Berlingske og Berlingske Business, eller online på b.dk og business.dk.

Ønsker du at vide mere om BrandView, bedes du kontakte content marketing afdelingen Public Impact via e-mail: info@publicimpact.dk.

Sponseret

Sampensions kunder kan glæde sig over et godt afkast for 2017.”En typisk kunde i vores markedsrenteprodukt opnår et afkast i år på omkring 8 pct., og det er meget højere, end hvad man kunne forvente v...

Business Events Se alle

Business.dk anvender cookies til at huske dine indstillinger, statistik og at målrette annoncer. Denne information deles med tredjepart. Læs mere

Kære læser. Velkommen til business.dk.

Vi kan se, at du har installeret en adblocker, så vi ikke kan vise dig annoncer. Det er vi kede af, fordi indtægter fra annoncer er en helt afgørende årsag til, at vi dagligt kan tilbyde dig journalistik af høj kvalitet.

Vi håber derfor, at du i din adblocker vil tillade visning af annoncer fra business.dk Det er nemt og tager kun et øjeblik: Se hvordan du gør her.

Med venlig hilsen
Berlingske Business

Tilbage til artiklen