Indsigt

Nedtællingen er startet - ét år, indtil den nye persondataforordning

Den 25. maj 2018 træder den nye persondataforordning (GDPR) i kraft. Er din virksomhed forberedt?

På det tidspunkt træder vi alle ind i den fagre nye verden. Med et komplekst nyt regelsæt, der har taget år at udarbejde, og som redefinerer loven om privatlivet i den moderne digitale tidsalder. Den nye lovgivning skaber en lang række nye udfordringer for organisationer, der behandler persondata. Dem, der formår at håndtere udfordringerne og leve op til nye krav, vil stå stærkere og sikre en større konkurrencedygtighed.

Der er kun ét problem: Tiden løber ud, før vi når den længe ventede deadline for compliance i relation til GDPR. Så hvad skal der ske i de kommende 12 måneder for at undgå alvorlige økonomiske sanktioner og for at gøre din organisation klar til den nye digitale tidsalder?

Det er med andre ord tid til at flytte fokus fra antagelser og formodninger til handling.

Som rådgiver inden for bl.a. persondataforordningen anbefaler Deloitte, at man får en fyldestgørende indsigt i reglerne, før man påbegynder planlægningen.

Et væsentligt element i den nye lov er, at den ikke kun gælder for virksomheder, der er baseret eller tilbyder deres ydelser/produkter inden for EU, men den gælder for alle virksomheder og organisationer, der overvåger og indsamler data på borgere i EU, hvilket får stor indflydelse på virksomheder, der opererer globalt.

Lovgivningen har som hovedregel til formål at give forbrugerne kontrollen over deres personoplysninger tilbage.

For marketingfolk er det afgørende at sikre, at indsamlingen af personoplysninger er ansvarlig og gennemsigtig. De skal foretage en fuldstændig gennemgang af alle interne processer, herunder hvor og hvordan personoplysninger indsamles, og om der er risiko for forbrugere eller medarbejdere forbundet med indsamlingen. Disse processer skal derefter formidles til forbrugerne på et enkelt, tilgængeligt sprog.

Standarder for samtykke er også skærpet. Det er ikke længere acceptabelt at konkludere forbrugerens samtykke ved manglende handling eller ved lange og indviklede samtykkeerklæringer. Nu skal alle virksomheder kommunikere enkelt og letforståeligt på en måde, der klart forklarer, hvilke data der bliver registeret og til hvilket formål. Hvis der opstår et databrud, skal de også underrette myndighederne og forbrugerne inden for 72 timer.

Og som et væsentligt nyt punkt vil der være alvorlige konsekvenser for manglende overholdelse med bøder på op til 4 % af den årlige globale omsætning.

Et naturligt spørgsmål er: "Hvordan overholder jeg den nye lov?". Det er der desværre ikke noget let svar på; faktisk er lovgivningen på flere områder blevet formuleret forholdsvis uklart, og en del er lagt op til lokal fortolkning, men på trods af dette er der masser af tage fat på.

Fra forståelse til handling: Hvad er næste step?

Omfanget af GDPR og sikring af overholdelse er omfattende. Men der er ingen grund til panik. De fleste virksomheder er allerede klar over, at planlægningen bør prioriteres – og siger, at GDPR er deres primære prioritet i forhold til databeskyttelse - så det næste trin er at få lagt en god plan for, hvordan man griber det an.

Før man ser på løsninger, bør man foretage en omfattende revision af data, bl.a. hvilke slags data man besidder og til hvilket formål; Hvem har adgang til data: Hvor de opbevares og forædles, herunder tredjeparter, og hvordan det aktuelt styres. Ved at kortlægge data gennem hele deres livscyklus bliver det lettere at identificere områder, hvor man ikke lever op til de nye krav. For at minimere risikoeksponering bør man også overveje at slette forældede og ugyldige data de næste 12 måneder.

Vigtige actions:

  • GDPR-parathedsvurdering/gap-analyse. Med en gap-analyse måler vi, hvor virksomheden er i forhold til, hvor de skal være, når GDPR træder i kraft. Det vil resultere i en køreplan for at sikre overholdelse af lovgivningen.
  • Datastrategi. Kun de færreste virksomheder har en decideret strategi for deres dataindsamling; dette er dog en vigtig del af forberedelsen til GDPR. Når man har fastlagt nuværende processer og eventuelle svagheder, er det vigtigt at beslutte, hvilke data der i fremtiden skal indsamles og hvorfor.
  • Budget. Når man har fordøjet omfanget af det arbejde, der er forbundet med at overholde den nye GDPR, er det tid til at tænke på finansiering. Omfanget de næste 12 måneder og den løbende vedligeholdelse derefter er forbundet med væsentlige omkostninger, som naturligvis skal budgetteres, ligesom man skal vurdere, hvilke ressourcer og kompetencer man selv kan stille med, og dernæst hvilken ekstern hjælp der er nødvendig.
  • Test. Der er meget lidt tid til fejl, så alle nye processer, systemer og netværk bør testes grundigt på forhånd.
  • Ansvarlighed og gennemsigtighed. Dette er to grundpiller i GDPR, og selvom de nogle gange er vanskelige at opretholde i praksis, er der måder og midler til at gøre det. Den bedste metode til at sikre ansvarlighed er for eksempel at dokumentere alle aktiviteter og hvordan de stemmer overens med datastrategien. At være helt gennemsigtig er mere udfordrende. Det kræver evnen til at opsummere al datahåndtering på en let forståelig måde, der er let tilgængelig og tilgængelig for den enkelte - det være sig en forbruger eller en medarbejder.

Det er vigtigt at huske, at sikkerhed ikke kun handler om teknologiløsninger, men også mennesker og processer. Det betyder bl.a., at trænings- og awarenessprogrammer er et must for at sikre, at medarbejderne er opmærksomme på deres ansvar. Der skal være fokus på at vende dem fra at være det svageste led til det stærkeste aktiv i bestræbelserne på at overholde lovgivningen.

GDPR-nedtællingen er i sin allersidste fase, og man skal ikke gå i panik, men i stedet handle og få lagt en plan - og helst hurtigt.

Fandt du dette nyttigt?

Relaterede emner