Data er det nye guld, og derfor skal du holde styr på dem

Ingen grund til panik over EU’s nye regler for persondata

Jens Nüchel Petersen. Foto: PETER HOLM FOTO

Kravene i EU’s nye dataforordning kan virke overvældende for mange virksomheder. Men en struktureret tilgang er en god medicin mod datapanik, siger chefkonsulent i IBM.

Der er nu mindre end et år til, at de nye regler i EU’s persondataforordning (GDPR) træder i kraft. Mange virksomheder er stadig i tvivl om, hvad de skal gøre for at leve op til kravene i de nye regler – og ikke mindst, hvad det vil koste.

Men selvom deadline nærmer sig, er der ingen grund til at gå i panik, lyder det fra chefkonsulent i IBM Jens Nüchel Petersen. Man kan nemlig komme langt ved at lære sine medarbejdere, hvor de kan finde viden om den nye forordning.

- Hvis du arbejder i en vognmandsforretning, ved alle, at der er regler for, hvordan man håndterer lastbiler med anhængere. På samme måde skal alle vide, at der findes nogle regler for, hvordan man opbevarer og håndterer data om fysiske personer. Vi skal bare vide, hvor vi kan gå hen og slå det op, siger Jens Nüchel Petersen.

Derfor er det vigtigt, at man bredt i virksomheden får indsigt i principperne i GDPR. Hvis den viden bliver forbeholdt en eksklusiv gruppe af medarbejdere, bliver beskyttelse af persondata ikke en del af virksomhedens forretningskultur, siger han.

- Der skal være en bred forståelse af, at fokus på personfølsomme data er et vigtigt område for virksomhedens ve og vel. Derfor er det også vigtigt, at ledelsen bakker op om det her, siger chefkonsulenten.

- Det skal være rutine i virksomheden, at man analyserer, hvad konsekvenserne er, hvis man håndterer persondata forkert. Det skal både være, når man ændrer på systemer, og når man starter noget nyt op, siger han.

Han kan dog sagtens forstå, at det kan virke uoverskueligt at sætte sig ind i et kompliceret regelsæt eller finde ud af, hvor man først skal tage fat. Han anbefaler, at man holder fokus på, hvor persondata har betydning for forretningen.

- Find ud af, hvilke data du har, og hvordan data-flowet er i din virksomhed. Er der nogle data, som du ikke har brug for, eller har du data, som du ikke har tilladelse til at opbevare efter den 25. maj næste år. Så må man lave et regelsæt for datahåndtering. Og det indbefatter også de nødvendige sikkerhedsforanstaltninger som adgangskontrol, kryptering og pseudonymisering, hvor personnavne og andre oplysninger, der kan identificere den enkelte, bliver adskilt fra de mere følsomme data, siger Jens Nüchel Petersen, som understreger, at de nye regler efter hans opfattelse er et fremskridt både for borgernes ret til privatliv og virksomhedernes muligheder for at bruge data på en ansvarlig måde

- Det er ikke meget anderledes, end hvad man allerede ser i den finansielle sektor og pharma-industrien, hvor der er meget strenge retningslinjer og policies, man skal opfylde. Det bliver så bredt ud nu, bare med fokus på undgå misbrug af EU-borgernes private data. Alle virksomheder, databehandlere, dataansvarlige og datatransportører får et sæt regler for, hvordan de skal arbejde med de her data, forklarer chefkonsulenten.

Og det er på høje tid, at lovgiverne kommer på banen, siger han med henvisning til, at de nuværende regler stammer tilbage fra 1995.

- Der er jo sket meget med it-teknologien siden da.

Et af de områder, hvor GDPR betyder skrappere regler, er kravet om, at virksomhederne skal indhente samtykke fra bruger og borgere, før man må begynde at behandle deres data. Derfor er det også et godt sted at starte, når man analyserer data-flowet i sin virksomhed.

- Data er det nye guld, og virksomhederne ligger i dag inde med data, som man har fået i mange forskellige sammenhænge. Men GDPR indeholder helt nye krav til samtykke fra kunder og brugere, hvis man eksempelvis vil lave profilering af brugerne ud fra deres personlige data. Og der er også regler for, hvor længe man må beholde og opbevare data. Der er princippet, at man kun må beholde data så længe, som det er nødvendigt, slutter Jens Nüchel Petersen.

Annonce

EU-GDPR

Hvorfor:
EU's persondataforordning (GDPR) har til formål at sikre borgere, slutkunder og brugeres data blandt andet for at forebygge cyberkriminalitet – men også for at regulere virksomheders kommercielle udnyttelse af persondata.

Hvordan:
EU-GDPR indeholder regler om, hvornår og hvordan personoplysninger kan og må behandles, hvilke pligter man har som dataansvarlig og databehandlere, og hvordan man skal dokumentere sin brug af persondata. Fx:

  • Krav om løbende risikovurdering og compliance
  • Mulighed for myndighedsinspektion
  • Krav om rapportering inden for 72 timer efter et datalæk
  • Mulighed for at udstede bøder på op til 20 millioner euro eller fire procent af den dataansvarlige virksomheds globale omsætning.

Målet er at styrke tilliden til udbydere af services og produkter, som i større eller mindre grad bygger på indsamling af personlige data, som i mange tilfælde vil have en digital komponent.

Reglerne handler altså ikke om industrispionage eller tyveri af produktinformationer eller intellektuelle rettigheder.

Hvornår:

  • EU-GDPR blev aftalt i december 2015
  • Trådte formelt i kraft i maj 2016
  • Det nye regelsæt får virkning fra maj 2018
Annonce