Brug nye regler for persondata til at få bedre overblik over dine forretningsprocesser

EU’s persondataforordning øger kravene til at sikre data fra kunder og samarbejdspartnere. Men de nye regler kan også give virksomheder og myndigheder en anledning til at optimere deres forretningsprocesser.

Persondata er guld værd

Arbejdet med at leve op til det nye regelsæt i EU’s persondataforordning (GDPR) er langt fra bare et spørgsmål om at bygge nye it-systemer med bedre sikkerhed. Arbejdet med at sikre sig, at man lever op til de nye og skrappere regler, skal i stedet tage udgangspunkt i de forretningsprocesser, som involverer persondata.

Sådan lyder det fra Søren Wolder, der som advokat og partner i DAHL Advokatfirma er specialist i persondataret.

- De nye regler gør, at virksomheder og myndigheder i endnu højere grad skal tænke på persondata som noget, de blot har til låns i en given periode, hvorefter vi må acceptere at skulle slette eller tilbagelevere oplysningerne igen. Og for leve op til reglerne (compliance) kræver det, at man får overblik over de forretningsprocesser, hvor man anvender persondata, siger Søren Wolder og fortsætter:

- Man skal som virksomhed sikre sig, at man har hjemmel til den databehandling, man foretager, og at man overholder de principper, der er nedfældet i reglerne. Men det er jo ikke en it-afdeling, der bestemmer, hvordan data bliver brugt. Det sker tværtimod i forretningen, som jo gerne vil have automatiseret en forretningsproces. Den opgave har man så i mange tilfælde overladt til en it-afdeling. Men it-afdelingen styrer jo kun den tekniske og sikkerhedsmæssige side af sagen og ved jo ikke nødvendigvis, hvordan oplysninger bliver indsamlet og behandlet, eller hvem der skal have adgang til data. Det er forretningen, der gør det, siger advokaten.

Han opstiller tre gode råd til, hvordan man skal gribe arbejdet an, hvis man vil leve op til de nye EU-regler.

- Sørg for at få opgaven forankret i organisationen. Langt de fleste virksomheder har ikke tidligere forholdt sig til det her problem. De aner ikke, hvilke data de har, hvordan data bliver brugt, og hvem de eventuelt har som underleverandører. Der er ikke nogen struktur, der kan give det nødvendige overblik, lyder det fra Søren Wolder.

 - Derfor vil det her være et selvstændigt implementeringsprojekt, hvor den første vigtige opgave er at forankre arbejdet i sin organisation. Der skal være en, der har ansvaret for at drive det frem, og de nødvendige penge og ressourcer skal være til rådighed. Det kan være, man ender med et stort eller et lille projekt, men der skal være et ejerskab, som skal bakkes op af ledelsen, siger han.

 - Sørg for at få opgaven forankret i organisationen, siger advokat Søren Wolder om de nye regler i EU's persondataforordning.

Hans råd nummer to er, at man udarbejder en oversigt over sine databehandlingsaktiviteter.

- Når man kortlægger sin brug af personoplysninger, får man samtidig et billede af forretningsprocesserne. Det giver et overblik over, hvilke udfordringer man står over for, hvor data er lagret, hvor kritiske ens data er, og hvordan data interagerer med andre databehandlere,” siger Søren Wolder, som dermed er fremme ved sit tredje gode råd. Lav en risikovurdering for hver enkelt forretningsproces, som involverer behandling af persondata:

- Risikovurderingen betyder, at man er meget bedre rustet, når man skal tage stilling til, hvilke sikkerhedsforanstaltninger man skal sætte i værk for at sikre virksomhedens data.

Med en risikovurdering kan man også nemmere og mere kvalificeret beslutte sig for, hvilket ambitionsniveau man vil have, siger advokaten.

- Mange vil sige, at de bare lige skal klare sig over barren, så man lige akkurat kan komme igennem en kontrol, hvis Datatilsynet banker på døren. Men man kan også vælge at se persondataforordningen som en strategisk mulighed, der giver højere tillid hos kunderne, når de ser på, hvad man gør for at sikre dataintegritet, understreger Søren Wolder.

Han peger samtidig på en række negative konsekvenser, hvis data bliver kompromitteret.

- EU’s persondataforordning giver mulighed for at udstede bøder i tilfælde af datalæk. I visse tilfælde er der rapporteringspligt, hvis virksomheden oplever et sikkerhedsbrud. Det kan give dårlig omtale. Man kan også få påbud om at stoppe med at drive en bestemt proces, indtil man har bragt forholdene i orden. Og hvis det rammer ens kerneaktivitet, har man for alvor et problem, siger han.

- Så der er to tilgange til det her. Man kan vælge alene at fokusere på at leve op til reglerne. Men der kan også være en gevinst, hvis man bruger det som anledning til at opgradere it-systemerne eller optimere forretningsprocesserne. Det kan være, man opdager, at man helt kan undvære en bestemt proces, man kan rydde op i nogle systemer eller gøre nogle ting smartere, samtidig med at man minimerer risikoen for at data blive kompromitteret, slutter Søren Wolder.

Annonce

EU-GDPR

Hvorfor:
EU's persondataforordning (GDPR) har til formål at sikre borgere, slutkunder og brugeres data blandt andet for at forebygge cyberkriminalitet – men også for at regulere virksomheders kommercielle udnyttelse af persondata.

Hvordan:
EU-GDPR indeholder regler om, hvornår og hvordan personoplysninger kan og må behandles, hvilke pligter man har som dataansvarlig og databehandlere, og hvordan man skal dokumentere sin brug af persondata. Fx:

  • Krav om løbende risikovurdering og compliance
  • Mulighed for myndighedsinspektion
  • Krav om rapportering inden for 72 timer efter et datalæk
  • Mulighed for at udstede bøder på op til 20 millioner euro eller fire procent af den dataansvarlige virksomheds globale omsætning.

Målet er at styrke tilliden til udbydere af services og produkter, som i større eller mindre grad bygger på indsamling af personlige data, som i mange tilfælde vil have en digital komponent.

Reglerne handler altså ikke om industrispionage eller tyveri af produktinformationer eller intellektuelle rettigheder.

Hvornår:

  • EU-GDPR blev aftalt i december 2015
  • Trådte formelt i kraft i maj 2016
  • Det nye regelsæt får virkning fra maj 2018
Annonce