Blot 4 ud af 10 danske virksomheder er klar til de nye regler om persondata

Den nye EU-persondataforordning træder i kraft i maj 2018. I dag mener 4 ud af 10 virksomheder, at de er klar til de nye regler, og kun halvdelen af de danske virksomheder forventer at have sikret deres persondata tilstrækkeligt, inden de nye regler træder i kraft. Det viser en ny undersøgelse fra PwC. Dermed kan en stor gruppe virksomheder risikere bødekrav på op til 4 % af deres omsætning eller 20 mio. euro.

Den nye EU-persondataforordning (databeskyttelsesforordningen) træder i kraft 25. maj 2018 og indeholder en lang række nye og skærpede krav til virksomheder, der behandler data, som direkte eller indirekte kan relateres til en fysisk person. Det er dog kun 52 % af de danske virksomheder, der vurderer, at de i høj grad har sikret deres persondata tilstrækkeligt om 18 måneder.

”Vi anbefaler, at man hurtigst muligt sætter sig ind i, hvordan de nye krav vil påvirke organisationen, og hvilke eventuelle udfordringer man står overfor, når det gælder efterlevelse af de kommende og skærpede krav til persondatabeskyttelse,” fortæller Mads Nørgaard Madsen, der er partner og it-sikkerhedsekspert i PwC.

De nye regler om persondata er omfattende, og hele 77 % af de danske virksomheder vurderer i undersøgelsen, at de i fremtiden som minimum vil være nødt til at ændre forretningsgange og procedurer for at tilpasse sig de kommende regler om persondata.

”Undersøgelsen viser, at mange virksomheder har fået øjnene op for, at der skal ske væsentlige ændringer i forretningen, når de nye regler om persondata bliver en realitet. Så meget desto vigtigere, at flere virksomheder vænner sig til at arbejde med databeskyttelse som en integreret del af virksomhedens øvrige forretningsprocesser,” fortæller Mads Nørgaard Madsen.

Han henviser til, at hele 29 % af virksomhederne i undersøgelsen kun i nogen grad forventer at blive klar, når de nye regler træder i kraft 25. maj 2018, mens 9 % forventer det i mindre grad, og 10 % svarer, at de ikke ved det.

De nye regler betyder bl.a., at virksomheden fremover skal have det totale overblik og kontrol over data-flowet i virksomheden, og hvis der skulle ske et brud på datasikkerheden, skal virksomheder selv inden for en kort tidsramme efter opdagelsen af bruddet informere samtlige ramte organisationer og personer, ligesom datatilsynet skal orienteres inden for 72 timer.

Det bliver aktuelt for et stort antal af de danske virksomheder, idet hele 7 ud af 10 af dem har været udsat for hændelser eller angreb relateret til cyberkriminalitet de seneste 12 måneder ifølge undersøgelsen.

”Mange virksomheder bliver desværre ramt af brud på sikkerheden, og det er langt fra hver gang, at det bliver opdaget hurtigt, hvis det overhovedet bliver opdaget af virksomheden. Og hvis ikke virksomheden reagerer hurtigt i forhold til at informere, kan det altså medføre store bøder fra EU,” siger Mads Nørgaard Madsen.