Kronik: EU’s digitale grundlov – er din organisation klar til de nye krav til håndtering af persondata?

Den daglige ledelse og bestyrelse har ansvaret for, at organisationen i tide kan tage livtag med forordningen og blive klar til, at den træder i kraft i 2018. Forordningen – ofte betegnet som EU’s digitale grundlov – bygger på samme principper som persondataloven, men for rigtig mange virksomheder og myndigheder er der meget at tage fat på. To år er kort tid til at blive klar!

Ledelsen bør være særlig opmærksom på følgende punkter:

• Bødeniveauet i forordningen nærmer sig samme niveau som overtrædelser af konkurrencelovgivningen – op til 4 % af den globale omsætning.
• Persondatabeskyttelse er blevet ophøjet til en menneskerettighed, og der er en stigende bevidsthed om, at persondata skal behandles med respekt for individet.
• Sikkerhedsbrister og anden lemfældig omgang med persondata svækker konkurrenceevnen, koster på imagekontoen og på bundlinjen. Det giver unødig travlhed på direktionsgangen.
• Brug og afhængighed af data stiger med en sådan hast, at man med rette kan tale om en egentlig digital tranformation – et paradigmeskifte. Det gælder for virksomheder, myndigheder, organisationer og privatpersoner.
• En rigtig gennemført compliance-proces vil resultere i empowerment af hele virksomheden/organisationen i relation til håndtering persondata og ultimativt give klare konkurrencefordele.

I faktaboksen nederst kan man se ti konkrete råd til, hvad ledelsen bør gøre for at være klar til de nye regler. Men lad os se lidt nærmere på, hvad persondataforordningen indeholder.

Afløser direktiv fra 1995

Den nuværende lovgivning blev til i begyndelsen af 1990’erne – altså før digitalisering, internet og sociale medier revolutionerede vores levevis og samfund. Med de nye regler er ambitionen at ramme en balance mellem de store digitale muligheder og beskyttelsen af den enkeltes rettigheder.

De generelle krav til behandling af persondata, sondringen mellem almindelige og følsomme persondata og mellem den dataansvarlige og databehandlere svarer i vidt omfang til den nugældende lovgivning. Men, som det fremgår af grafikken, indføres en række nye bestemmelser til beskyttelse af de registreredes rettigheder:

Der stilles krav til dokumentation og til underretning ved sikkerhedsbrud. Nogle virksomheder skal udpege en Data Protection Officer (DPO), der indføres solidarisk ansvar mellem den dataansvarlige og databehandleren, og bødeniveauet skærpes betydeligt.

Timing: Kom i gang nu!

Billede

Selvom to år umiddelbart kan forekomme som lang tid, vil det for mange virksomheder være nødvendigt at komme i gang nu for at nå at få gennemført den forandringsproces og de tiltag, som skal til for at opnå compliance i forhold til det nye retsgrundlag. Mange virksomheder er da også allerede godt i gang med at forberede sig. Compliance i forhold til forordningen vil uden tvivl også blive et væsentligt konkurrenceparameter om fremtidens kunder på en helt anden måde end hidtil set.

Først og fremmest er det vigtigt i forberedelsen af forandringsprocessen, at den enkelte virksomhed gør sig klart, hvilken konsekvens forordningen vil få for virksomhedens strategi, forretningsmodel og aktiviteter, herunder it-planlægning. Selve processen bør forankres i ledelsen og bør løbende have ledelsens bevågenhed.

Når de konkrete konsekvenser af forordningen er identificeret, kan de overordnede mål og succeskriterier fastlægges. Persondata-compliance skal tilpasses den enkelte virksomhed, men bør angribes holistisk og ses i forhold til både virksomhedens egen behandling af persondata, virksomhedens supply chain og virksomhedens kunder.

For i praksis at kunne styre de krav, som forordningen pålægger virksomhederne, handler det nok så meget om at gøre kravene operationelle. Forandringsprocessen og den løbende opfølgning bør derfor anskues som en multi-disciplinær øvelse. Den løses bedst af in-house jurister i et tæt samspil med virksomhedens medarbejdere med de rette kompetencer og ansvar inden for jura, HR, IT, herunder it-sikkerhed og marketing, samt eksterne advokater efter behov. Herved sikres den faglige kvalitet, at løsningerne bliver operative, og at der tages ejerskab for forandringerne. Projektresultatet bliver med andre ord langtidsholdbart og processen til målet overskuelig.

Beskriv data flow og aktiviteter

Uanset om virksomheden efter forordningen vil være forpligtet til at udpege en Data Protection Officer (DPO) eller ej, er det nødvendigt, at der udpeges en projektansvarlig og et projektteam sammensat af personer med de rette kompetencer, jf. ovenfor.

Aktiviteter skal planlægges, herunder nødvendig uddannelse og allokering af ressourcer, også de økonomiske. Der skal foretages en hurtig afklaring af de behandlingsformer, der er kritiske for virksomheden. Beror forretningsmodellen f.eks. på samtykke, på behandling af følsomme data, på interesseafvejnings-bestemmelsen, sker der overførsel til lande udenfor EU?

Beslutningen om, hvilke compliance-tiltag, der konkret skal gennemføres, bør ske på grundlag af en udtømmende kortlægning af virksomhedens indsamling og behandling af persondata (dataflow mapping) og en grundig risikovurdering af, hvor organisatoriske sikkerhedsforanstaltninger indtænkes.

Forud for implementeringen foretages en prioritering af de enkelte tiltag i forhold til virksomhedens behov og muligheder. En korrekt og udførlig data flow mapping er et fundamentalt værktøj for projektets succes og en krumtap for den løbende evaluering, vedligeholdelse og forbedring. En effektiv måde at tilvejebringe en data flow mapping på er gennem workshops og besvarelse af spørgeskemaer. Endelig bør processen dokumenteres løbende både i forhold til interne og eksterne stakeholders og myndigheder.

Spis elefanten i små bidder

At blive parat til at møde forordningens udfordringer og krav kan for de fleste virksomheder forekomme som en overvældende opgave. Med den rette tilgang og planlægning kan forandringsprocessen imidlertid gøres til et overskueligt, effektivt og lean forløb. Den vil udover at sikre compliance nu og her også ruste virksomheden til fremtidens hastigt voksende digitalisering med den dynamik og de muligheder, men også trusler, der ligger heri.

Opgaven kan sammenlignes med at spise en elefant: Det klares bedst i små bidder, men kræver til gengæld god tid. Så det er nu, man skal i gang, hvis organisationen skal være klar til 2018.

ATV’s Digitale Vismandsråd afholdt temamøde om persondataforordningen den 29. august i Lyngby og planlægger et tilsvarende møde vest for Storebælt i 2017. Kontakt ATV-sekretariatet for yderligere informationer.

Fakta: De 10 spørgsmål som ledelsen skal stille:

• Hvilke persondata indsamles og behandles? Behandles følsomme data eller data om børn?
• Formålet med persondatabehandlingen: Dækker formålsangivelsen den faktiske brug/behovet?
• Behandles persondata for andre virksomheder? Er I (også) databehandler?
• Med hvilken hjemmel sker behandling? Hvordan indhentes samtykke? Er der dokumentation?
• Hvor behandles persondata, internt og eksternt? Har I overblik over systemer og data flow?
• Sker der overførsel til koncernselskaber eller andre modtagere udenfor EU/EEA? Har I hjemmel?
• Hvilken information gives til de registrerede? Tager I højde for de registreredes rettigheder?
• Hvad er status på og tiltag omkring sikkerhed? Fysisk, teknisk og organisatorisk?
• Hvem er ansvarlig for persondataområdet? Har I behov for en DPO eller blot en persondataansvarlig medarbejder?
• Har organisationen styr på dokumentation for aktiviteterne, på politikker, processer, uddannelse og træning af medarbejdere?