Er din virksomhed klar til nye dataregler?

(Foto: U.S. Navy photo by Photographer's Mate 3rd Class Kitt Amaritnant - Wikimedia CC)

De færreste virksomheder har beredt sig på den kommende persondataforordning, men det kan have store konsekvenser for pengepungen

Hvis begreber som Data Protection Officer og operationel compliance ikke lige fanger din opmærksomhed, så gør en bøde på fire procent af din virksomheds omsætning sikkert?

EU øger nemlig indsatsen mod virksomheders sløsede behandling af persondata med den kommende dataforordning, der træder i kraft i 2018.

Og det er ikke småting, de danske virksomheder skal vende sig til.

Oven på de allerede eksisterende regler for behandling af persondata bliver der lagt et yderligere lag ned over virksomheder og myndigheder. Regler om regler så at sige.

“Metaregler”

Virksomheder og offentlige myndigheder skal fra 2018 kunne fremvise procedurer, der sikrer, at tingene bliver gjort ordentligt, og hvis ikke, risikerer man bødestraf på op mod fire procent af virksomhedens globale omsætning – dog maksimalt 20 millioner euro.

Ifølge advokat for Plesner, Michael Hopp, skal den nye forordning ses i lyset af, at virksomheder og myndigheder hidtil ikke har taget persondataregler alvorligt.

Læs også: Hvad skal du med min lommelygte-data?

”Man vil ganske enkelt sikre, at reglerne bliver efterlevet. Og det sikrer man ved at lave et yderligere regelsæt, som man lægger ned over de almindelige regler,” forklarer Michael Hopp, der har speciale i netop persondataforordningen.

Generel uvidenhed

Men frygt ej, hvis du endnu ikke har taget stilling til de nye regler. Så befinder du dig nemlig trygt blandt majoriteten af de europæiske organisationer, viser en ny undersøgelse fra internetgiganten Dell.

Undersøgelsen viser, at 97 procent af de adspurgte virksomheder ikke har en plan for efterlevelse af persondataforordningen i dag.

Samtidig tror kun 9 procent af de it- og forretningsprofessionelle på, at de bliver klar med en plan, inden forordningen træder i kraft.

Det der ”compliance”

Når man taler med Michael Hopp om den kommende persondataforordning fyger ordene ”operationel compliance” om ørerne på én.

Han kalder det metaregler – regler om regler – og han mener, at det er det væsentligste punkt i den nye persondataforordning.

”Det kan godt være, at du indholdsmæssigt efterlever reglerne, men du skal også have et internt regelsæt, der sikrer, sandsynliggør og ultimativt dokumenterer, at du også bliver ved med at overholde reglerne,” forklarer Michael Hopp.

Læs også: Undersøgelse: Det koster kundernes persondata

Det kræver et eksempel at forklare.

Jobansøgninger skal slettes inden 6 måneder

Når en virksomhed slår en stilling op, får de måske 100 ansøgninger ind i deres HR-system. Heraf udvælges en shortlist på ti, som bliver sendt rundt til de relevante ledere, mens tre kaldes til samtale, og én heldig rad løber med jobbet.

De nuværende persondataregler tilsiger, at virksomheden inden for seks måneder skal slette alle ansøgningerne fra diverse indbakker og HR-systemer. Det er det ifølge Michael Plesner de færreste, der gør.

Og skulle de være så heldige, at alle får tømt deres indbakke rigtigt, så er det med den nye persondataforordning ikke nok. Du skal nemlig kunne dokumentere, at din virksomhed har procedurer og kontroller, der sikrer, at det bliver gjort.

Læs også: Cyborg: Du kan redde verden med din data

”Du kan indbygge det i dit HR-system eller indføre en politik, om at nye medarbejdere skal på et datakursus inden for tre-fire uger fra deres ansættelse. Det er allerede normalt i mange banker og forsikringsselskaber i dag,” siger Michael Hopp.

Krav om dataansvarlig

Som et element i den operationelle compliance får nogle virksomheder og alle myndigheder pligt til at have en databeskyttelsesrådgiver – en såkaldt Data Protection Officer, også kaldet DPO. DPO’en skal vejlede om reglerne og føre tilsyn med, om de bliver efterlevet.

”Alle offentlige myndigheder skal have en DPO og alle private virksomheder, der har store mængder følsomme data i forbindelse med deres kerneaktivitet – oplysninger om race, religion, fagforening, seksualitet osv.” siger Michael Hopp.

En Data Protection Officer er en uafhængig instans og kan ikke fyres for at udføre sit arbejde. Så bare ærgerligt, hvis du får sat en kværulant i spidsen for din databeskyttelse.

 

Micahel Hopps fire råd

Michael Hopp har fire råd til de virksomheder og offentlige myndigheder, der endnu ikke har fået hænderne op af lommen i forhold til de kommende regler.

  1. Få styr på hvilken data, din virksomhed eller myndighed, ligger inde med, og hvor de ligger.
  2. Sæt dig ned og vurder om den brug, du gør af dataene er lovlig.
  3. Mal et lag af operationel compliance ud over din organisation, så du sikrer, at reglerne efterleves, og at du kan dokumentere, hvordan dette sker.
  4. Giv dine medarbejdere nødvendig uddannelse, så de forstår, hvad de må og ikke må med deres data, og at de bliver ved med at forstå det.

Et sted at starte er hos Erhvervsstyrelsen, der har lavet PrivacyKompasset. Ud fra 17 spørgsmål kan den generere en privatlivspolitik, der kan hjælpe din virksomhed til at blive klar til EU’s Databeskyttelsesforordning i 2018.

Du vil måske også synes, disse artikler er relevante for dig

0

Array ( [0] => 119 )

bc
bc
(Foto: Youtube.com - Maker Faire Rome tour - Enrico Dini @D-Shape - Pisa)
(Foto: Youtube.com - Maker Faire Rome tour - Enrico Dini @D-Shape - Pisa)
(Foto: ICAPlants - Wikimedia CC)
(Foto: ICAPlants - Wikimedia CC)
(Foto: NASA - Wikimedia Public Domain)
(Foto: NASA - Wikimedia Public Domain)
NASA_Super_Pressure_Balloon_Begins_Globetrotting_Journey_(27072743125)-web
NASA_Super_Pressure_Balloon_Begins_Globetrotting_Journey_(27072743125)-web
(Foto: indiegogo.com)
(Foto: indiegogo.com)
(Foto: Mirko Tobias Schaefer - Wikimedia CC)
(Foto: Mirko Tobias Schaefer - Wikimedia CC)
(Foto: ibbyskibby.wordpress.com)
(Foto: ibbyskibby.wordpress.com)
(Foto: Intel Free Press - Flickr CC)
(Foto: Intel Free Press - Flickr CC)
(Foto: William Murphy - Flickr CC)
(Foto: William Murphy - Flickr CC)