Nedtællingen på DI´s hjemmeside om persondata har været i gang i et år. I dag er det slut. I dag, den 25. maj 2018, får Persondataforordningen virkning i hele EU, og fra i dag betræder danske virksomheder således et helt nyt persondata territorium.

Dagen i dag markerer overgangen til strengere regler for, hvordan virksomheder må og skal arbejde med persondata, og ikke mindst hænger truslen om bøder i millionklassen nu som en tung sky over alle danske virksomheder – store som små.

Persondata er overalt, og samtlige virksomheder – uden undtagelse – arbejder med persondata i dagligdagen. Persondata er nemlig alle oplysninger om bestemte fysiske personer, dvs. alt lige fra navn og telefonnummer på kontaktpersoner hos andre virksomheder til lægeerklæringer og straffeattester på medarbejdere.

Ingen af os ønsker, at persondata falder i de forkerte hænder. Derfor er det også meget positivt, at en rundspørge blandt mere end 500 DI-medlemmer viser, at virksomhederne har taget opgaven på sig. Mere end 7 ud af 10 af de deltagende virksomheder svarer således, at de har et fuldt overblik over de nye regler.

Dermed ikke sagt, at alle virksomheder er nået i mål til i dag. For det kræver en enorm indsats at omstille en virksomhed til alle de nye krav i Persondataforordningen.

Først og fremmest skal der ske en kulturændring i mange virksomheder. Medarbejderne skal lære at tænke i nye baner. Helt konkret skal bogholdere, HR-medarbejdere, sælgere mv. lære at genkende persondata og forholde sig til, hvordan de arbejder med det – hvor de gemmer oplysningerne, hvad de bruger dem til, og hvornår de sletter dem igen.

At indføre sådanne nye arbejdsgange i en virksomhed tager tid, uanset hvor mange it-systemer virksomheden har til at hjælpe sig med arbejdet. Dertil kommer, at mange tvivlsspørgsmål om reglernes rækkevidde og fortolkning ikke kan besvares, før myndighederne fra i dag får skabt en praksis på de nye, forskellige områder.

Derfor er det vigtigt, at Datatilsynet viser forståelse for opgavens omfang og særligt i den første tid satser på vejledning af virksomhederne frem for sanktioner. Virksomhederne vil gerne gøre det rigtige og bør derfor få mulighed for at rette ind, hvis de ikke rammer helt inden for skiven den første gang.

Med andre ord bør Datatilsynet bruge alle redskaberne i deres værktøjskasse og ikke blot bødehammeren. Disse signaler er heldigvis også kommet fra tilsynet, hvis direktør har udtalt til DI, at ”den 25. maj ikke er D-dag”.

I dag er det dog også vigtigt at understrege, at fokus på databeskyttelse også kan skabe muligheder for virksomhederne. For god databeskyttelse er også en god forretning. Det skaber tillid hos kunder og investorer, og netop tillid er samtidig en afgørende faktor for hele den digitale omstilling, som vi ved skaber ny vækst.

Virksomheder, som forstår at udmønte potentialet i deres data, kan også udvikle mere intelligente produkter til gavn for kunderne, og bedre datadisciplin kan i det hele taget forøge virksomhedens effektivitet.

Derudover har truslen fra hackerangreb og cyberkriminelle aldrig været højere, og det er ikke bare en god ide at styrke virksomhedens it-sikkerhed for at beskytte sig mod cyberkriminelle. Det er også meget vigtigt i forhold til beskyttelse af de persondata, som virksomheden ligger inde med. Dårlig it-sikkerhed er en overtrædelse af Persondataforordningen, mens god it-sikkerhed både beskytter virksomheden mod cyberangreb og overtrædelse af persondatareglerne.

Alt i alt kan god databeskyttelse altså gøre danske virksomheder mere konkurrencedygtige på det globale marked, og i Dansk Industri hilser vi derfor dagen i dag velkommen.

Bloggen er også bragt som debatindlæg i Berlingske Tidende.