Mange små firmaer og kommuner får svært ved at komme i mål med de nye persondatakrav

Indlægget er fra Jyllands-Posten den 5. maj 2018
Af  Brian Wessel, faglig direktør i FSR – danske revisorer.
Læs indlægget hos Jyllands-Posten

Den 17. marts 2018 blev hele verden bekendt med, at et britisk analyseinstitut ulovligt har misbrugt persondata fra op imod 87 millioner Facebook-brugere til at påvirke det amerikanske præsidentvalg.

I lidt mindre skala har Jyllands-Posten afsløret, hvordan DR, Folketinget og DSB har opsamlet data om deres brugeres adfærd på nettet og sendt dem videre til netop Facebook og Google.

Facebook-skandalen har sat en tyk streg under nødvendigheden af at undgå misbrug af persondata i eksempelvis databaser, dokumenter, mails, og ja – Facebook.

Timingen af skandalen kunne set med EU-øjne dårligt have været mere velvalgt. Den 25. maj træder nemlig nye EU-regler i kraft, der stiller skrappe krav til virksomhedernes omgang med vores personlige data. I den sammenhæng har Facebook-skandalen utilsigtet været en nyttig, men også nødvendig øjenåbner.

Nødvendig, fordi det her én måned, før reglerne får effekt, stadig kniber for mange virksomheder og kommuner at blive klar til at håndtere de nye regler.

En ny undersøgelse fra ingeniørforeningen IDA og FSR – danske revisorer viser for eksempel, at under halvdelen af landets virksomheder og kommuner har en procedure for, hvordan brud på datasikkerheden skal håndteres.

Spørger man medarbejderne samme sted, bliver det ikke meget bedre. Her er det kun lige godt halvdelen, der ved, hvad de skal gøre, hvis de opdager et brud på datasikkerheden. Det er bekymrende.

Det er ellers ikke information om de nye regler og deres mulige konsekvenser, det har skortet på. Tværtimod. De seneste måneder har det ikke været muligt at åbne for tv’et, radioen eller en avis uden at blive mødt med begreber som GDPR, persondatabeskyttelse og databehandleraftaler.

Problemet er nok nærmere, at det især for mange små virksomheder og kommuner er temmelig uoverskueligt at få overblik over situationen og komme i mål med de mange forskellige krav, der stilles til håndtering af persondata.

Situationen bør give anledning til dybe panderynker hos politikere og myndigheder, der i lang tid har råbt ”ulven kommer”.

Overtrædelse af reglerne risikerer at udløse en regulær bøderegn over de virksomheder og kommuner, der ikke lever op til reglerne. Så galt går det forhåbentlig ikke, og Datatilsynet har da også givet udtryk for, at det vil holde igen med de store bøder.

Det ændrer imidlertid ikke på, at situationen er alvorlig, og at mange virksomheder og kommuner ikke når at komme i mål til tiden.

Med kun en måned til deadline er der behov for realistiske planer, som kan rummes ved siden af at drive forretningen. Et af problemerne med de nye databeskyttelsesregler er, at de er så omfattende, at mange giver op, inden de er nået at komme i gang.

Derfor mener vi: Glem bøderne, få de vigtigste ting på plads nu – og tag så resten i prioriteret rækkefølge.

En realistisk plan, som de fleste burde kunne komme i mål med inden deadline, kunne for eksempel indeholde følgende:

Få skabt overblik over de persondata, som organisationen ligger inde med, og slet de data, hvor samtykke/anvendelse ikke er på plads.

Få styr på retten til data og sikkerheden omkring opbevaring af data.

Få sat fokus på det vigtige i, at alle i organisationen håndterer persondata korrekt, så det bliver en del af kulturen.

Det sidste er nok det sværeste, men også det vigtigste. En sund persondatakultur, hvor korrekt håndtering af data er en naturlig del af virksomhedens dna, er det bedste værn mod fremtidige Facebook-skandaler.