Danske it-virksomheder er generelt godt forberedt på persondataforordningen

EU’s kommende persondataforordning stiller en række nye krav til virksomheder og organisationers håndtering af data. Som individ får man ret til at slette og flytte sine data, og virksomheder skal i højere grad have styr på, at der er givet samtykke.

Men med godt et halvt år til at forordningen træder i kraft, er store og mellemstore danske it-virksomheder generelt godt forberedt på forordningen. Det viser de foreløbige resultater fra Alexandra Instituttet, der er i gang med at undersøge, hvilke udfordringer danske it-virksomheder har i forhold til implementering af persondataforordningen.

Alexandra Instituttet har interviewet de ansvarlige for persondataforordningen i ti mellemstore og store danske it-virksomheder, hvor den mindste har 35 medarbejdere, mens den største har flere tusinde ansatte. De har både spurgt om, hvad deres holdning er til forordningen, og kigget på, hvilke tekniske og organisatoriske udfordringer, it-virksomhederne står med.

“Vi har undersøgt, hvilke udfordringer virksomhederne står overfor, og kan se, at der overordnet har været en ret positiv tilgang til forordningen. Man ser det her som en nødvendighed og en god ting at komme i gang med. Det har blandt andet betydet, at man har fået afdækket, hvor persondata flyder hen i systemerne. Mange af dem, vi har snakket med, ser det som en nødvendighed, som man ikke har tænkt så meget over før.”

Sådan lyder det fra Mads Schaarup Andersen, Senior Usable Security Expert, der sammen med Laura Lynggaard Nielsen, Specialist Anthropologist – begge fra Alexandra Instituttet – holdt oplæg i forbindelse med temamøde om forordningen den 21. nov. Det blev afholdt i samarbejde mellem ATV – Akademiet for de Tekniske Videnskaber, InfinIT og Digital Society Aarhus University http://www.infinit.dk/dk/arrangementer/bliv-klar-til-persondataforordningen.htm

Fokusskift i virksomhederne

Undersøgelsen viser, at de adspurgte it-virksomheder i stor grad ved, hvad der skal til for at komme i mål for at kunne leve op til forordningen.

“En anden interessant pointe er, at det har betydet et stort fokusskift for flere af virksomhederne. Når man tidligere har lavet risikoanalyser i disse firmaer, har det handlet om potentiel ‘impact’ for virksomheden selv. Nu er man tvunget til også at se på ‘impact’ for data-subjektet, altså de personer, man samler data ind om,” fortæller Mads Schaarup Andersen.

Det giver en række tekniske udfordringer. Fx hvordan man får hentet al data, man har om en person, frem fra systemerne.

“En af de store tekniske udfordringer, der er ved indførelse af forordningen, er fx, hvad man gør med al den information, man samler ind om en given bruger. Med forordningen følger der nogle rettigheder i forhold til at få indsigt i data og et krav om dataportabilitet, så man som data-subjekt kan samle informationerne og tage dem med videre.”

“Det gælder også, hvis man skal slette al information om en person. Når man kører traditionel backup, har man nogle store udfordringer i forhold til at kunne slette, da data typisk bliver gemt på tape-backup, hvor det ikke bare er ligetil at slette et enkelt dataelement,” forklarer Mads Schaarup Andersen.

Resultaterne er kun foreløbige, da den systematiske analyse af interviewene stadig er i gang. Næste skridt er at høre de mindre virksomheder.

“Der er ting, der indikerer, at de små virksomheder har nogle større udfordringer, da de ikke har et stort apparat, som de kan sætte i gang. Her vil det typisk være én af ti medarbejdere, der sidder med forordningen, altså en større mundfuld, og derfor vil vi fremadrettet gerne se på, hvordan de står i det her,” forklarer han.

Virksomhederne har brug for gode råd

I forhold til de tekniske udfordringer er det vigtigt, at virksomhederne får nogle gode råd til, hvordan de kan efterleve forordningen, lyder det fra Henning Mortensen, formand for Rådet for Digital Sikkerhed.

Det er i blandt andet i forhold til at tage backup, hvor der i forordningen står, at man skal tage backup, så man kan genskabe data. Samtidig står der, at man skal sikre, at de registrerede kan få indsigt i deres data, og at de kan få slettet deres data.

“De to ting konflikter med hinanden i den virkelige verden, hvis man har en tape backup-løsning, fordi det ikke er særligt let at slette data. Hvordan laver man en afvejning mellem de to punkter? Det er noget af det, som virksomhederne ikke ved i dag, og derfor vil vi bede Justitsministeriet give os nogle gode råd til, hvordan man som virksomhed kan efterleve begge krav,” forklarer Henning Mortensen.

Flere letlæste vejledninger på vej

Ifølge Cristina Angela Gulisano, direktør i Datatilsynet, er forordningen en ‘moppedreng’ på 1.500 sider med meget juridisk tekst, og derfor er man fra Datatilsynets side gået i gang med at lave letlæste vejledninger. Samtidig har man lanceret en hjemmeside www.dbreform.dk og lavet 12 spørgsmål, der kan forberede den dataansvarlige på forordningen https://www.datatilsynet.dk/fileadmin/user_upload/dokumenter/12_spoergsmaal_-_GDPR.pdf

“Et af formålene med forordningen er netop at matche den digitale udvikling, men der er også noget om snakken, når man siger, at der er tale om en evolution, og ikke en revolution. Vi er i tilsynet meget spændte på, hvor mange anmeldelser om brud på persondatasikkerheden, der kommer. Jeg håber imidlertid, at der er så godt styr på datasikkerheden i Danmark, og at antallet ikke bliver voldsomt stort. Men uanset antallet, så er det vigtigt, at vi lærer, så vi ikke begår den samme fejl flere gange,” forklarer hun.

Helt afgørende er dog, at de – forhåbentlig få – der endnu ikke er kommet i gang med at forholde sig til forordningens konsekvenser, får sat turbo på, forklarer Cristina Angela Gulisano.

“Der er nok en del, der har ventet, til forordningen blev en realitet, ligesom der er dem, der har gået og ventet på betænkningen – og som nu også tænker: lad os lige få vejledningerne med, før vi går i gang. Men jeg er nødt til at sige, at man er nødt til at komme i gang nu med at kigge indad, fordi man bedst selv kender sin egen organisation og virksomhed, og ved, hvilke overvejelser det er vigtigt at få gjort i forhold til temaer som sletning og opfyldelse af de nye krav omkring dataportabilitet,” slutter Cristina Angela Gulisano.