Persondata: "Kun få er helt i mål"
Strammere regler for persondata fra 25. maj har fået virksomhederne i sving. Men det er omfattende at blive klar, og der vil altid være huller i håndteringen, vurderer DI.
Truslerne om betydelige bøder, hvis der ikke er styr på håndtering af persondata, skaber travlhed i landets virksomheder. Det er i en grad som underdirektør Kim Haggren, DI’s ansvarlige for arbejdet med EU’s nye dataforordning, ikke har set tidligere.
Strafferammen er voldsom, mener Kim Haggren, men det er op til domstolene at lægge en linje.
– Realistisk set må man erkende, at meget få virksomheder er 100 procent i mål med håndteringen af persondata i maj måned. Vi håber derfor, at myndighederne først og fremmest vil satse på vejledning af virksomhederne i stedet for sanktioner, hvis de ser, at virksomhederne bestræber sig på at ville behandle og opbevare persondata ordentligt, siger han.
Men det kræver også en ny kultur i mange virksomheder og hos de enkelte medarbejdere, fordi man ikke har været vant til at håndtere persondata så struktureret og dokumenteret. Der skal nye arbejdsgange ind for at arkivere data og for at rydde op. I det arbejde vil der være detaljer, som ikke når på plads.
Det giver problemer, hvis de danske myndigheder lægger en helt anden linje end deres kolleger i det øvrige EU. Kim Haggren, Vicedirektør
Mødt over 2.000 virksomheder
Dansk Industri har ved op mod 20 medlemsmøder været i kontakt med over 2.000 virksomheder de seneste måneder. Og spørgelysten har været stor og meget konkret til en lovgivning, der ikke altid er helt entydig. Overordnet er der ikke store forandringer i forhold til tidligere, men det er sanktionerne, som skærpes.
– Interessen har været rigtig stor, og der har været ekstremt mange spørgsmål. Behovet er stort, fordi lovgivningen på mange områder ikke er så konkret, og vores virksomheder har brug for mere detaljeret viden om, hvad de skal gøre, fortæller Kim Haggren.
I særligt grove tilfælde, hvor virksomheder findes fuldstændig ligeglade med håndtering af persondata – eller sælger dem bag ryggen på de involverede, kan bøder være på sin plads, mener DI.
Læs også: Bilsælger: Nye data-regler er en sund øvelse
Harmonisering i EU
En anden væsentlig faktor er i myndighedernes håndtering i forhold til øvrige EU-lande. Der skal helst være en harmonisering, for ellers kan det ramme konkurrenceevnen.
– Det giver problemer, hvis de danske myndigheder lægger en helt anden linje end deres kolleger i det øvrige EU. Reaktionerne skal harmoniseres på tværs, men det vil være udfordret af, at der er mange nationale særhensyn indbygget, eksempelvis har vi et CPR-system, som skal integreres, siger Kim Haggren.
Læs også: Persondata: 5 trin gør din virksomhed klar
Brug af DI og rådgivere
I virksomhedernes konkrete arbejde på at leve op til persondataforordningen bruger de ofte eksterne konsulenter og rådgivere. I den forbindelse anbefaler Kim Haggren, at virksomhederne forbereder sig og afgrænser opgaven. Ellers kan regningen hurtigt eksplodere.
– Man er nødt til at gøre et benarbejde først, hvor man skaber et overblik selv over, hvilke data man har, hvor de er gemt osv. Derfra kan man bruge rådgivere til nålestiksopgaver indenfor eksempelvis jura, it og processer, anbefaler han.
Ifølge den seneste rundspørge blandt medlemmerne i DI’s Virksomhedspanel, har tre ud af 10 virksomheder valgt at købe ekstern bistand til at få styr på den nye persondataforordning. Det skyldes ikke mindst, at mange af virksomhederne mangler kompetencerne i huset. Derfor anses det som billigere og nemmere at købe konsulentbistand, end selv at ansætte folk selv til at løse opgaven.
DI har udviklet redskaber til, hvordan man kommer i gang. Find dem her
Fem råd til persondata:
1: Skab overblik
Find ud af, hvilke oplysninger I har om medarbejdere, kunder mv. Spørg hver eneste afdeling, og kortlæg jeres it-systemer. Dernæst skal I sikre, at I har en lovlig grund til at have disse persondata.
2: Ryd op
Sørg for at indføre sletterutiner. Loven siger, at virksomheder ikke må gemme persondata i længere tid end nødvendigt. Hvor lang tid er det? Det kommer an på den konkrete situation, men i alle tilfælde må I ikke gemme oplysninger til evig tid.
3: Overhold rettighederne
De personer, som I har oplysninger om, har en række rettigheder. I har pligt til at give dem en række oplysninger, når I indsamler deres persondata, og de har ret til indsigt og kan gøre indsigelse.
4: Sørg for sikkerhed
I skal sikre, at jeres persondata er tilstrækkelig beskyttet. I skal sørge for teknisk sikkerhed og organisatorisk sikkerhed. Derudover skal I fremover huske at informere Datatilsynet inden 72 timer, hvis I oplever et databrud, som eksempelvis et hackerangreb.
5: Dokumentér jeres arbejde
Dokumentér, at I følger reglerne, og forklar, hvordan I opfylder de enkelte forpligtelser i loven, og udarbejd fortegnelser over jeres arbejde med persondata.
Kilde: Kim Haggren, DI