Artikel top billede

Sådan gør Coop sig klar til nye skrappe persondata-regler fra EU

Coop har som stor, datatung virksomhed fulgt EU's kommende persondata-lov i et par år i forsøget på at tilpasse forretningen til den nye virkelighed. Læs her, hvordan selskabet griber opgaven an.

I omkring to år har landets største detailvirksomhed Coop Danmark indtil videre forberedt sig til EU's kommende persondataforordning, som med al sandsynlighed træder i kraft i 2018.

EU-forordningen betyder blandt andet, at virksomheder med adresse i Europa bliver tvunget til at melde om persondata som følge af sjusk eller hackerangreb, samt kan se frem til en bøde på op mod fire procent af sin globale omsætning, hvis der er mistet persondata.

Det kan du læse mere om her: Så voldsomt vil nye EU-regler ramme danske virksomheder: 10 virksomheder vil skulle erkende hacker-angreb hver eneste dag

Jurist Jacob Voetmann fra Coop Legal fortæller, at han i efteråret selv blev ansat hos supermarkedskæden med blandt andet Irma, Fakta, Kvickly og Superbrugen i porteføljen for at sætte endnu mere fokus på fremtidens persondata-udfordring.

"Vi er i gang med at få en masse processer på plads, og vi kommer også til at investere et indtil videre ukendt millionbeløb i at opgradere dele af det tekniske setup. Vores 1,5 millioner medlemmer har jo betroet os at passe på deres data, og dem vil vi selvfølgelig gøre alt for at passe på," forklarer Jacob Voetmann til Computerworld.

Billigst at være klar

Coop-juristen fremhæver, at detailkæden er på forkant med udviklingen, da både virksomhedens jurister og teknikere længe har vist, at forordningen ville komme.

"Vi begyndte på opstramningen allerede inden EU-teksten lå klar. For når der eksempelvis skal godkendes budgetter til arbejdet med persondata, er det jo en stor fordel at være tidligt ude i en så stor organisation som vores," fortæller Jacob Voetmann.

Og ved at være tidligt ude af startblokken omkring fastsættelse af procedurer ved eventuelle persondata-tab mener han, at virksomheder står bedre rustet, når EU-forordningen er klar om føje år.

"Det ser faktisk ud til, at det er en fordel at anmelde tab, da bøderne ved persondata-tab blandt andet bliver fastsat efter, hvor god man er til anmelde tab til de berørte kunder og til myndighederne. Derfor har vi stor fokus på netop dette område," forklarer han.

"Selvfølgelig kan det være pinligt at skulle ud og forklare om tab og sårbarheder, men vi vurderer, at det også vil være billigere for os at være klar med processerne så hurtigt som muligt, hvis vi skulle blive hacket eller på anden vis blive kompromitteret," fortsætter Jacob Voetmann.

Sporene skræmmer

En af de sager, som blandt andet har Coops store interesse, er den amerikanske detailkæde Targets store datatab i slutningen af 2013.

Her mistede Target persondata på op mod 110 millioner kunder i form af blandt andet navne, adresser og kreditkortoplysninger, hvilket satte gang i det helt store udsalg af netop kreditoplysninger på nettets forbryder-sites.

Det kan du læse mere om her: Hackerangreb rammer en tredjedel af befolkningen.

"Target-sagen viser, at det økonomiske tab kan være rigtig stort, men det langsigtede tab i form af ens renommé er meget større, og der skal vi i sagens natur gerne undgå at havne," understreger Jacob Voetmann.

Han håber derfor også, at telebranchens mere eller mindre heldige erfaringer med at have meldepligt til Erhvervsstyrelsen ved persondatatab kan bruges fremadrettet, når EU-reglerne falder endeligt på plads.

"Der skulle jo gerne være lighed for loven, så vi som et stort brand står med det samme vilkår som eksempelvis mindre marketingbureauer, der kunne tænkes at være mindre opmærksomme på lovgivningen," lyder det fra Coop-juristen.

I den henseende peger han på, at et af de store spørgsmål bliver, om myndighederne har ressourcer nok til at håndhæve loven, så den rent faktisk også kommer til at omfatte alle virksomheder.

"Der er ingen tvivl om, at det europæiske datatilsyn vil få en langt vigtigere og større rolle end i dag, når forordningen træder i kraft," fortæller Jacob Voetmann.

Sådan forbereder netbutikkerne sig

Udover store danske virksomheder som Coop står danske netbutikker i alle størrelser med de samme udfordringer for at passe på kundernes data.

FDIH (Foreningen for Dansk Internet Handel) har fulgt lovarbejdet i EU-regi tæt, og FDIH's kommunikationschef Henrik Theil fortæller til Computerworld, at foreningens omkring 1.000 medlemmer har en del spørgsmål, inden EU-forordningen træder i kraft i 2018.

"Sådan helt firkantet sagt, er der jo ikke noget voldsomt nyt i, at man skal passe på sine kunders data. Nu er det bare sådan, at der kommer håndfaste sanktioner, hvis man ikke gør det," indleder Henrik Theil.

Han peger på, at især indhentning af kundernes samtykke for brug af data i den ene eller den anden sammenhæng er en knast, der eventuelt skal høvles over flere gange.

Det skyldes, at der på nuværende tidspunkt er uklarhed om, hvordan forordningen vil definere, at generelle data (læs: big data) bliver til personfølsomme data eksempelvis via databehandling, og hvornår og om de data kan bruges. 

"Vi kan potentielt ende i en situation, hvor butikkerne har meget svært ved at håndtere samtykkekravet, hvis butikkerne eksempelvis vil bruge kundernes data på en anden måde, end det de i første omgang har fået samtykke på. Det bliver lidt vel bøvlet at skulle indhente nyt samtykke hver gang," forklarer Henrik Theil.

Dansk lovtekst på trapperne

Derfor har FDIH på vegne af sine medlemmer afsat ressourcer af til lobbyarbejde hos Justitsministeriet, som er den danske myndighed, der er ansvarlig for at få skrevet forordningen ind i den danske lovgivning.

Det forventes, at udkastet til den danske lovtekst ligger klar allerede inden april i år.

"Vi skal helst undgå at havne i samme situation med cookie-lovgivningen, hvor intentionerne egentlig var gode, men hvor man får lagt sig lidt for fast til nogle regler, der ikke giver den store mening i praksis," lyder det fra Henrik Theil.

Han fortæller i den sammenhæng, at FDIH derfor nu vil have analyseret lovteksten til bunds.

Herefter vil foreningens medlemmer i form af godt 2.000 netbutikker i alle størrelser blive inviteret til seminarer og oplysningsmøder om, hvad de skal være opmærksomme på fremadrettet, når de håndterer kundernes data.

Udover FDIH's og andre foreningers kommende seminarer og orienteringsmøder afholder Computerworld også en større konference om datasikkerhed i slutningen af måneden, som du kan læse mere om her.

Læs også: 
Opråb til alle chefer: EU-stramningen af persondata-reglerne er dit ansvar

Detaljerne næsten på plads: Her er de nye skrappe data-regler fra EU