3 minute read
Status på GDPR: Tendenser og udfordringer anno 2020
by e-Boks
Tendenser og udfordringer anno 2020
EU’s persondataforordning ramte danske virksomheder og resten af Europa for omkring to år siden. Men hvordan går det med at implementere og efterleve GDPR i virksomhederne? Michael Hopp, partner og advokat i Plesner, gør status og giver sit bud på, hvilke udfordringer virksomhederne står overfor, når vi taler GDPR anno 2020.
De fleste virksomheder har nu både persondatapolitikker og interne retningslinjer om GDPR på plads. Databeskyttelse er dog et område, der stadig er under udvikling, men persondata-politikkerne er kun noget værd, når de bliver efterlevet. Blot en måned inden deadline for GDPR tilbage i maj 2018 viste en undersøgelse, at hver tredje
Michael Hopp
danske virksomhed ikke var klar til, at reglerne trådte i kraft.
Hvordan billedet ser ud i dag, er endnu ikke opgjort. Men Michael Hopp giver et kvalificeret bud: – Langt fra alle danske virksomheder har så godt styr på deres processer, at de med sikkerhed kan sige, at de er compliant med GDPR, siger han.
Ifølge ham er det som sådan ikke svært for virksomhederne at forstå GDPR-reglerne. Der, hvor skoen trykker, er, når det skal omsættes til praksis. – Vores erfaring er, at det typisk ikke er svært for virksomhederne at forstå reglerne. Det svære er at gennemføre reglerne ude i forretningen, siger Michael Hopp.
De største udfordringer
Succesfuld implementering af GDPR i virksomheder og organisationer forudsætter en forretningsorienteret gennemgang af procedurer og et indgående kendskab til virksomheden. – Et succesfuldt complianceprojekt kræver dyb indsigt i organisationens processer for håndtering af data. Men mange virksomheder har ikke den indsigt. Derfor bevæger data sig rundt og bliver ofte opbevaret på lidt tilfældig vis. Særligt i større organisationer kan der opstå uhensigtsmæssige processer i de enkelte afdelinger. Processer der ofte er fuldstændigt ukendte for andre afdelinger, for ledelsen og ikke mindst for complianceafdelingen, fortæller Michael Hopp.
Han pointerer desuden, at det, som mange overser, er, at compliancearbejdet ikke stopper, når man er færdig med implementeringen – der skal følges op med styring
og løbende forbedring af procedurerne. Det er alfa og omega, at arbejdet bliver forankret i de forskellige afdelinger, som “bruger” persondata i det daglige.
Netop arbejdet i og på tværs af de forskellige afdelinger, forventer Michael Hopp, bliver en vigtig faktor i 2020. – I de afgørelser, vi har set fra Datatilsynet, bliver det en gang for alle slået fast, at virksomheder og myndigheder ikke kommer uden om at foretage risikovurderinger forud for næsten alle væsentlige beslutninger vedrørende persondata. Et fyldestgørende arbejde med risikovurderinger kræver mange ressourcer og det rigtige team bestående af medarbejdere fra forretningen, IT og Legal, siger han.
I forlængelse heraf opfordrer Michael Hopp - først og fremmest – virksomheder til at kigge deres it-systemer og databehandlere efter i sømmene. Og gøre sig klart, hvorvidt virksomhedens data overføres til tredje lande i form af cloud-baserede løsninger. Ifølge ham vil netop cloud medføre en række administrative udfordringer, som de færreste virksomheder er rustet til at håndtere på nuværende tidspunkt. – Det er essentielt, at virksomheder får overblik over hele deres behandlingsstruktur, herunder virksomhedens kæde af databehandlere og under-databehandlere. Man skal have fuld indsigt i alle lag i leverance-modellen. Det er ikke nok at vide, at data bor på et datacenter i Europa, hvis der samtidig er tale om, at data kan tilgås fra et servicecenter uden for Europa. Det er et stort administrativt arbejde, og der er mange virksomheder, som ikke kender til den leverance-model, som de køber sig ind i, fortæller Michael Hopp. Under-databehandlere vil ofte arbejde fra lande uden for EU, og det skal virksomhederne være bekendt med, før de indgår databehandleraftaler, så de relevante bestemmelser i GDPR overholdes, og det sikres, at data lovligt kan overføres
e-Boks sikrer GDPR-compliance
e-Boks’ løsninger er tilpasset GDPR, så de lever op til kravene til en sikker it-infrastruktur. Det betyder, at alle dokumenter, som sendes gennem e-Boks, overholder forordningen – hvad enten der er tale om ansættelseskontrakter, lønsedler, helbredsoplysninger, kontoudtog eller andet. Det, som bliver sendt mellem afsender og modtager i e-Boks, bliver krypteret, således at den data ikke er tilgængelig for andre. Det sikrer fortrolighed mellem afsender og modtager. Derfor er det ikke kun en fordel for virksomhederne at bruge e-Boks som kanal, men også for modtagerne.
