​SMV'er har få muskler til at leve op til dataregler

Den 25. maj træder EU’s nye persondataforordning (på engelsk: General Data Protection Protection Regulation, forkortet: GDPR) i kraft som lov i hele EU og dermed også Danmark. Forordningen sætter fokus på at sikre bedre håndtering af persondata og databeskyttelse og giver bedre muligheder for at sanktionere virksomheder, der ikke lever op til forordningen.

Det har sat gang i et arbejde med at få styr på persondata i en grad, der ikke tidligere er set.

En undersøgelse baseret på interviews som Alexandra Instituttet har foretaget blandt ti store og mellemstore virksomheder samt fem mindre virksomheder viser, at der er stor forskel på, hvor godt forberedte og hvor godt rustede virksomhederne er til at håndtere de krav, som forordningen stiller.

Hvor de store og mellemstore virksomheder har væsentlige ressourcer sat af til implementering og har en plan for, hvad de skal gøre, ender opgaven i mindre virksomheder ofte hos en enkelt person. De er derfor i større risiko for forsinkelser.

Undersøgelsen viser, at de store og mellemstore virksomheder generelt er positivt stemt over for forordningen, og de har en oplevelse af at vide, hvad de skal gøre for at leve op til forordningen. De ser arbejdet som en nødvendig og god ting at komme i gang med, hvor man får afdækket, hvor data flyder hen i systemerne og samtidig får ryddet op i de data, som de måske unødvendigt har liggende. Flere nævner, at det en aha-oplevelse, at man ikke bare skal tænke på forretningen, men også på den registrerede.

De mindre virksomheder ser forordningen, som noget uigennemskueligt og krævende, der i sidste ende kan betyde, at man må rulle digitale projekter tilbage. De ser datareglerne som overdrevne, og mener, at det er i højere grad er de store virksomheder, der trænger til opstramningen.

De mindre virksomheder er samtidig langt mere sårbare og meget afhængige af eksterne kilder til viden. Implementeringen er typisk bundet op på én eller få personer.

“Grunden til, at vi har valgt at snakke med virksomhederne, er, at vi kunne se, at der var efterspørgsel for at finde ud af, hvad andre gør. At der er forskel på store og mindre virksomheder, giver rigtig godt mening. De store har flere muskler og det er måske et større team, der arbejder på at imødegå kravene. De mindre virksomheder er meget mere sårbare. I de mindre er det måske én ovre fra regnskab, og dermed bliver ansvaret meget mere personbåret og afhængige af, hvem, der er i virksomheden,” fortæller Laura Lynggaard Nielsen, Specialist Anthropologist fra Business, Technology and People Lab https://alexandra.dk/dk/om_os/medarbejdere/laura-lynggaard-nielsen.

Virksomhederne er generelt spændte på, hvordan forordningen bliver implementeret og hvor store bøder, folk kommer til at få. Der spekuleres lidt i, hvor store ressourcer Datatilsynet har til at håndhæve reglerne.

“De store og mellemstore ser forordningen som en sund oprydning og har en ambition om at gå forrest for at komme i mål. Holdningen er, at selvfølgelig skal man opføre sig ordentligt, også selvom det er et stort arbejde. De mindre virksomheder har færre ressourcer til arbejdet og ser forordningen som noget unødvendigt og overdrevent ift. de data, de ligger inde med. De betragter det som noget, de er nødt til at gøre og sigter blot efter lige akkurat at leve op til forordningen,” fortæller Mads Schaarup Andersen, Senior IT Consultant fra Security Lab https://alexandra.dk/dk/om_os/medarbejdere/mads-schaarup-andersen.

Fakta: Områder, der kan være vanskelige for virksomhederne

Virksomhederne har peget på følgende områder, hvor der opstår vanskeligheder med implementeringen - enten, fordi det indebærer et stort arbejde, eller man mangler metoder og teknologi til at udføre opgaven, eller fordi der er uklarheder i forordningen.

• Overblik. Det kan være vanskeligt og tidskrævende at få overblik over de softwaresystemer og data, der findes i virksomheden. De mangler en metode for, hvordan man griber det an.
• Rolle i databehandling. Det er ikke altid gennemskuelig for virksomhederne om de er databehandler eller dataansvarlig.
• Deling af data på tværs af grænser. Der er tvivl om, hvordan regler er for deling af data på tværs af grænser, når der fx er tale om datterselskaber.
• Samtykke. Det er ikke tydeligt, hvor ofte, der skal bedes om samtykke, og hvor længe det skal opbevares.
• Anonymisering og pseudonymisering. De har svært ved at vurdere, hvornår data er tilstrækkeligt anonymiseret og pseudonymiseret.
• Sletning ift. backup. Backups gør det svært for virksomhederne helt at slette en registreret. De efterlyser en uddybning af, hvordan det skal udføres i praksis.

Rapporten “GDPR i praksis - Når forordningen rammer virkeligheden” https://alexandra.dk/sites/default/files/downloads/GDPR-2018_270218.pdf indeholder interviews med ti store og mellemstore virksomheder samt fem mindre virksomheder.

Formålet med rapporten er at komme bredt omkring de udfordringer, som danske virksomheder står overfor. Målet er at pege på områder, hvor virksomheder og udbydere af konsulentydelser omkring forordningen med fordel kan sætte ind. Rapporten er primært tiltænkt rådgivere og udbydere inden for it.

Rapporten er udført på tværs af et team af sikkerheds- og privacyeksperter samt antropologer, og er gennemført i samarbejde med National Platform for Cybersikkerhed http://danishcybersecurityclusters.dk/, Infinit http://www.infinit.dk/#&panel1-2 og Innovationsagenterne https://innovationstjek.dk/.