Rundspørge: Få virksomheder på forkant med persondata-forordningen
Selvom det regnes som ressourcekrævende og kompliceret at få implementeret EU’s persondatafordring, risikerer det at blive i 11. time, at danske virksomheder går i gang. Mere end halvdelen, forventer først at have implementeret forordningen inden for de to år, som er kravet. Kun hver femte vil implementere forordningen inden for det næste år.
Det fremgår af en rundspørge som DANSK IT har gennemført med tilbagemeldinger fra 70 it-chefer, it-sikkerhedschefer, ledere og jurister fra både offentlige og private virksomheder.
Der er hermed ikke tale en stor repræsentativ undersøgelse, men en stikprøve, der giver et fingerpeg om, hvordan de, der til daglig arbejder med it-sikkerhed, forholder sig til persondataforordningen.
I rundspørgen fortæller 54 procent, at deres virksomhed først vil have implementere forordningen inden for to år. Kun 20 procent vil gøre det inden for et år. Og 18 procent ved ikke, hvornår de får den implementeret. 8 procent forventer først at have implementeret forordningen efter to år.
Virksomheder i kamp mod uret
DANSK IT vurderer, at virksomhederne får problemer, hvis det betyder, at virksomhederne venter til sidste øjeblik at få implementeret de nye regler.
- Ud fra et fagligt synspunkt giver det god mening at gå i gang med det samme med at implementere forordningen. Dels kræver det rigtigt meget af virksomhedernes it-systemer, dels skal flere kontrakter gennemgås. Mange virksomheder har ikke den ekspertise i huset og vil skulle hente ekstern ekspertise i form af jurister og it-kyndige. Venter de for længe risikerer de ganske enkelt ikke at kunne få fat i de folk, de har brug for, siger Rikke Hvilshøj, adm. direktør, DANSK IT.
Hun tilføjer, at priserne på it-folk og jurister med indblik i forordningen meget vel kan få et nyk opad, jo tættere vi kommer på deadline for implementeringen, da efterspørgslen vil stige.
- I bedste fald kommer virksomhederne til at betale store summer for at komme i mål. I værste fald kommer de slet ikke i mål, da de ikke kan få fast i de rette ressourcer, mens tid er.
God værdi i at gå tidligt i gang
Advokatfirmaet Plesner opfordrer også virksomheder til ikke at vente:
- Vores råd er, at alle stille og roligt bør gå i gang allerede nu. Med god tid til processen bliver arbejdet med at efterleve de nye regler ikke bare en udgift. Grebet rigtigt an kan en grundig kortlægning af data og afdækning af de relevante nye regler gøres til en værdiskabende del af forretningsudviklingen, siger Michael Hopp, advokat og partner i Plesner.
Hos Nordea gik man allerede i gang med at forberede sig på forordningen flere år, før den var endelig på plads. Her betoner it-sikkerhedschef, Jacqueline Johnson, at det er vigtigt at virksomheder i god tid forbereder sine it-systemer og kontrakter for at kunne efterleve den nye lovgivning.
- Vi har bl.a. taget højde for forordningens krav i vores kommende kerneplatform, der samler vores systemer i en højeffektiv virtuel platform. Med den nye platform kategoriseres alt persondata og andet data, og vi vil derfor relativt enkelt kunne håndtere de mange nye krav om f.eks. gennemsigtighed i registreringen af og sletning af persondata, siger hun.
Jacqueline Johnson tilføjer, at de nye regler om databeskyttelse ikke alene gælder den enkelte virksomhed, men også virksomhedens leverandører. Derfor begyndte Nordea allerede i 2014 at stille krav om, at alle outsourcing-kontrakter skal forbi afdelingen IT Security, der vurderer hvilke sikkerhedsregler, som er relevante.
Hver tredje får det svært
DANSK IT er især bekymret for den gruppe på 36 procent, der fortæller, at de i høj eller i nogen grad forventer at få svært ved at efterleve forordningen.
Virksomhederne vil med den nye persondataforordning risikere markant højere bøder end vi i Danmark hidtil har set. Med forordningen kan der gives bøder på op til 4 procent af virksomhedens globale omsætning, hvis virksomheden f.eks. lækker kunders personfølsomme oplysninger.
Men imagekontoen kan også få et knæk, da forordningen betyder, at man som virksomhed vil være forpligtet til at afrapportere sikkerhedshændelser til både myndigheder og berørte kunder.
Det er blandt andet i forhold til at have procedurer på plads for at afrapportere sikkerhedshændelser til myndigheder og de berørte borgere, at mange virksomheder ikke kører i højeste gear. Hele 51 procent er slet ikke eller kun i mindre grad i stand til dette i dag.
- Hvis det ikke har været det i forvejen, så har EU’s persondataforordning gjort datasikkerhed til et forretningskritisk spørgsmål, der bør optage virksomhedernes øverste ledelser – store som små, siger Rikke Hvilshøj.
Blandt konklusionerne i rundspørgen er:
- 54 procent forventer at implementere forordningen inden for 2 år. 20 procent inden for 1 år. Og 18 procent ved ikke, hvornår de får den implementeret. 8 procent forventer først at have implementeret forordningen efter to år.
- 36 procent forventer, at de i høj eller i nogen grad vil få svært ved at efterleve persondatafordningen.
- 9 ud af 10 af de adspurgte vurderer, at persondatasikkerheden i høj grad eller i nogen grad vil blive højnet, når der med persondatafordringen bliver mulighed for at uddele bøder på op til 4 procent af den globale omsætning
- 72 procent er i dag i høj eller i nogen grad i stand til at levere informere kunden om, hvilke data de ligger inde med og hvordan de bruge den. 21 procent er det kun i mindre grad.