Hårdt arbejde med persondata giver gevinst
Peugeot-forhandler Henrik Wessel oplever langt større disciplin omkring behandling af persondata. Dansk Industri bekræfter, at mange virksomheder har ændret syn på data-behandling.
Arbejdet med at leve op til persondataforordningens regler for behandling af følsomme data har været dyrt, tidskrævende og efterlader stadig masser af panderynker hos medarbejderne i Peugeot-forhandler Henrik Wessels tre butikker i Storkøbenhavn.
Alligevel er Henrik Wessel ikke i tvivl. Det har været en sund og nødvendig øvelse.
– Op til 25. maj, hvor persondataforordningen trådte i kraft, fyldte det enormt meget. Men nu, hvor det hele er kommet lidt på afstand, så er det min klare konklusion, at det kun har kastet gode ting af sig, siger Henrik Wessel.
Han oplever, at de i organisationen har fået en langt mere ”sund disciplin” i omgangen med kundernes data.
– I vores branche har vi rigtig meget data om kunderne: Kørekort, forsikrings- og lånepapirer. Tidligere var der adgang til data, når kunden kom ind i butikken. Det har vi måtte ændre. Nu har vi kun deres registreringsnummer, siger Henrik Wessel og tilføjer:
– Det er helt klart blevet mere besværligt. Derfor øver vi os også i, hvordan vi kan gøre det lidt mere praktisk for os selv.
Den striksere omgang med kundernes data betyder også, at der er blevet ryddet godt og grundigt op i abonnementslisterne på deres nyhedsbreve.
– Nu kommunikerer vi kun med dem, der rent faktisk gider læse, hvad vi skriver. Vi har simpelthen fået bedre styr på både kunder og data, siger Henrik Wessel.
Nu kommunikerer vi kun med dem, der rent faktisk gider læse, hvad vi skriver. Henrik Wessel, Peugeot-forhandler
Paradigmeskift i datahåndtering
I Dansk Industri (DI) er det også oplevelsen, at der er sket et paradigmeskift i virksomhedernes måde at gå til følsomme data på. Det fortæller underdirektør i DI Kim Haggren, der har været i kontakt med hundredevis af virksomheder i tiden op til og efter 25. maj 2018.
– Jeg har en klar fornemmelse af, at de ansatte i virksomheder virkelig har fået det ind på rygraden, at de skal være meget opmærksomme, når de har at gøre med persondata. Der er sket en voldsom ændring i mindsettet. Fra små til store virksomheder oplever jeg, at virksomhederne arbejder målrettet med persondata, siger Kim Haggren.
En undersøgelse fra revisionshuset PwC blandt 251 danske virksomheder indikerer dog, at der stadig ligger et arbejde forude for en del virksomheder. I undersøgelsen er det kun 49 procent af de adspurgte, hvis data i høj grad er beskyttet i henhold til lovgivningen.
Kim Haggren mener heller ikke, at alle virksomhederne er i mål, hvilket også afspejler sig i, at han stadig får rigtig mange spørgsmål fra virksomhederne. Spørgsmålene har imidlertid ændret karakter.
– For et år siden var der en del virksomheder, der startede på næsten bar bund. Nu er det dybt kvalificerede og meget specifikke råd, der efterspørges. Virksomhederne vil gerne vide præcis, hvad niveauet er for sikkerhed, når du omgås følsomme data. Udfordringen er her, at praksis endnu ikke er blevet fastlagt. Vi ved ikke altid, hvor myndighederne vil lægge snittet, siger han.
Kim Haggren forventer derfor også, at der vil ske løbende tilpasninger af måden, som virksomhederne håndterer persondata på i den kommende tid. Og derfor ser han frem til, at der udstikkes endnu klarere retningslinjer fra myndighederne.
Hårdt, men vigtigt arbejde
En anden af de virksomheder, der har taget arbejdet med persondata meget seriøst, er it-virksomheden Systematic. Her oplever sikkerhedschef Kim Larsen, at man er kommet meget langt i arbejdet.
– Det har været rigtigt hårdt arbejde, men det har været meget nyttigt. Nu har vi et overblik over alle databehandleraftaler og følsomme data, som vi har at gøre med. På den måde er hverdagen ved at indfinde sig, siger Kim Larsen.
Han fortæller, at udarbejdelse af databehandleraftaler mellem Systematic og andre virksomheder i starten var en stor ting, da der ikke forelå nogle standarder. Men nu er der udarbejdet standardformularer, som har lettet arbejdet noget. Der er dog stadig knyttet en del arbejde til udarbejdelsen af databehandleraftalerne.
– Jeg synes, at persondataforordningen har højnet bevidstheden om, hvad følsomme data er – og her tænker jeg ikke kun på persondata, men også på andre typer af data. Det er et ret så vigtigt udbytte, som også kommer vores virksomhed til gavn, siger Kim Larsen.
Gode råd
Fem råd fra DI til håndtering af persondata:
1 Skab overblik
Find ud af, hvilke oplysninger I har om medarbejdere, kunder mv. Spørg hver eneste afdeling, og kortlæg jeres it-systemer. Dernæst skal I sikre, at I har en lovlig grund til at have disse persondata.
2 Ryd op
Sørg for at indføre sletterutiner. Loven siger, at virksomheder ikke må gemme persondata i længere tid end nødvendigt. Hvor lang tid er det? Det kommer an på den konkrete situation, men I må ikke gemme oplysninger til evig tid.
3 Overhold rettighederne
De personer, I har oplysninger om, har en række rettigheder. I har pligt til at give dem en række oplysninger, når I indsamler deres persondata, og de har ret til indsigt og kan gøre indsigelse.
4 Sørg for sikkerhed
I skal sikre, at jeres persondata er tilstrækkeligt beskyttet. I skal sørge for teknisk sikkerhed og organisatorisk sikkerhed. Derudover skal I fremover huske at informere Datatilsynet inden 72 timer, hvis I oplever et databrud, som eksempelvis et hackerangreb.
5 Dokumentér jeres arbejde
Dokumentér, at I følger reglerne og forklar, hvordan I opfylder de enkelte forpligtelser i loven. Og udarbejd fortegnelser over jeres arbejde med persondata.
Kontakt underdirektør i DI Kim Haggren, kih@di.dk eller 3377 3449 med spørgsmål om GDPR.
