EU's persondataforordning

Tjen penge på EU’s persondataforordning (GDPR)

EU’s persondataforordning (GDPR) bliver i disse dage omtalt som et pres for de danske virksomheder. Presset kommer, fordi virksomhederne skal bruge ressourcer på at blive klar til at leve op til alle forordningens krav. Jeg synes, at du skal anskue forandringerne fra en anden vinkel: Se den nye persondataforordning som en konkurrencemæssig mulighed frem for et pres.

Du kender måske den nye persondataforordning under navnet General Data Protection Regulation eller GDPR, som den forkortes. Ikke desto mindre er forordningen, der træder i kraft i Danmark d. 25. maj 2018, ikke gået manges næse forbi, da der for fremtiden ligger et øget arbejde i at beskytte kundernes persondata.

Ny persondataforordning – hvorfor?

En ny fælles persondataforordning kom til verden; dels fordi de eksisterende regler var håbløst forældede; dels fordi man ønskede at harmonisere reglerne i hele EU. De ensartede regler i EU betyder, at man som virksomhed ikke skal forholde sig til persondatalove i 28 forskellige versioner. Nu behøver man kun forholde sig til én.

De forældede regler gjorde, at virksomheder som Google og Facebook kunne bruge personfølsomme eller personhenførbare data, uden at brugerne fik noget af vide. Eller højest blev informeret om det i en kryptisk og nærmest uforståelig ”Terms of Use”.

Der er nu kommet øget fokus på anvendelsen af personhenførbare data. Kunderne bliver stadig mere opmærksomme på beskyttelse af deres personoplysninger og i hvilke sammenhænge de bruges.

Persondataforordningen giver med andre ord europæiske virksomheder muligheden for at forbedre deres brugerservice gennem opfyldelse af ét regelsæt. Én samlet persondataforordning.

EU’s persondataforordning bliver vigtigt konkurrenceparameter

Den nye persondataforordning giver EU-borgerne rettighederne over deres personoplysninger og dermed også ret til at vide, hvordan oplysningerne beskyttes, og hvad de bliver brugt til. Som virksomhed kan I tjene penge på at hjælpe jeres kunder med at forstå EU’s persondataforordning, og med at danne sig et overblik.

Jeg er overbevist om, at det at kunne beskytte brugerens personoplysninger og klart beskrive, hvordan data benyttes bliver en altafgørende konkurrenceparameter i en meget nær fremtid.

Og lad os være ærlige – på trods af, at EU’s persondataforordning kan virke uoverskuelig, så skal der for de fleste virksomheder ikke ret meget til at komme godt i gang. De fleste virksomheder er måske ikke helt i mål med persondataforordningens krav, men min vurdering er, at de fleste kan hurtigt komme 80% procent af vejen. Så skal der altså ikke meget til for at lave en plan for, hvordan man når de sidste 20%.

Kom i mål med den nye persondataforordning

For at leve op til forordningen kræves en kortlægning af virksomhedens data. Hvis I ikke har en oversigt i forvejen, er det en rigtig godt idé at få lavet en. Jeg foreslår at I kortlægger jeres data, ved at lave en udførlig template, der beskriver hvert datasæt ud fra følgende punkter:

  1. Hvad indeholder datasættet?
  2. Hvor er det gemt?
  3. Hvem har adgang?
  4. Hvordan får man adgang?
  5. Hvorfor har vi de data?
  6. Hvad bruger vi data til?
  7. Er der etableret procedure for adgang? – sletning? – indsigt?

Ud over beskrivelsen af hvert datasæt kræves der en kortlægning af de risici, som de givne data er udsat for. Er I ikke allerede bevidst om de risici, som virksomheden er udsat for, bør de kortlægges. Har I kortlagt jeres data og sikkerhedsrisici (inkl. konsekvenser) har I nu også en Data Privacy Impact Assessment (DPIA). Med en veludført DPIA kan I som virksomhed dokumentere, at I har styr på jeres kunders personlige oplysninger samt hvordan I beskytter dem. Med ovenstående har I al den information, der er nødvendig for at beskrive vilkår og betingelser og få accept fra kunderne. Dermed vil I kunne stå på mål for, at kundernes at personoplysningerne aldrig bliver brugt til noget som kunderne ikke er gjort opmærksom på eller har godkendt.

Opfyldelsen af EU’s persondataforordning bliver i fremtiden et afgørende parameter, når kunderne leder efter en service på nettet. Derfor er det vigtigt for virksomheder, at gøre sig konkurrencedygtige på dette område. EU’s persondataforordning skal ses som en mulighed for at skabe konkurrencemæssig fordele.

Hjælp til kortlægning af persondata

Har I behov for rådgivning ifm. EU’s persondataforordning og kortlægning af jeres data, står vores it-konsulenter klar.
Kontakt mig på mail for at lave en aftale:

Louis Hertz
Divisional Security Officer
louis.hertz@visma.com

Louis Hertz har arbejdet med Enterprise Arkitektur og sikkerhed i over 15 år. Han er Togaf 9.1 Certified og har certificeringer i CEH og CISSP. Han arbejder i dag som Divisional Security Officer i Visma Custom Solutions, der har kontorer i Norden og Lithauen og har i den rolle været med til gøre Visma klar til GDPR.