Sådan gør Coop sig klar til nye skrappe persondata-regler fra EU

Coop har som stor, datatung virksomhed fulgt EU's kommende persondata-lov i et par år i forsøget på at tilpasse forretningen til den nye virkelighed. Læs her, hvordan selskabet griber opgaven an.

I omkring to år har landets største detailvirksomhed Coop Danmark indtil videre forberedt sig til EU's kommende persondataforordning, som med al sandsynlighed træder i kraft i 2018.

EU-forordningen betyder blandt andet, at virksomheder med adresse i Europa bliver tvunget til at melde om persondata som følge af sjusk eller hackerangreb, samt kan se frem til en bøde på op mod fire procent af sin globale omsætning, hvis der er mistet persondata.

Det kan du læse mere om her: Så voldsomt vil nye EU-regler ramme danske virksomheder: 10 virksomheder vil skulle erkende hacker-angreb hver eneste dag

Jurist Jacob Voetmann fra Coop Legal fortæller, at han i efteråret selv blev ansat hos supermarkedskæden med blandt andet Irma, Fakta, Kvickly og Superbrugen i porteføljen for at sætte endnu mere fokus på fremtidens persondata-udfordring.

"Vi er i gang med at få en masse processer på plads, og vi kommer også til at investere et indtil videre ukendt millionbeløb i at opgradere dele af det tekniske setup. Vores 1,5 millioner medlemmer har jo betroet os at passe på deres data, og dem vil vi selvfølgelig gøre alt for at passe på," forklarer Jacob Voetmann til Computerworld.

Billigst at være klar
Coop-juristen fremhæver, at detailkæden er på forkant med udviklingen, da både virksomhedens jurister og teknikere længe har vist, at forordningen ville komme.

"Vi begyndte på opstramningen allerede inden EU-teksten lå klar. For når der eksempelvis skal godkendes budgetter til arbejdet med persondata, er det jo en stor fordel at være tidligt ude i en så stor organisation som vores," fortæller Jacob Voetmann.

Og ved at være tidligt ude af startblokken omkring fastsættelse af procedurer ved eventuelle persondata-tab mener han, at virksomheder står bedre rustet, når EU-forordningen er klar om føje år.

"Det ser faktisk ud til, at det er en fordel at anmelde tab, da bøderne ved persondata-tab blandt andet bliver fastsat efter, hvor god man er til anmelde tab til de berørte kunder og til myndighederne. Derfor har vi stor fokus på netop dette område," forklarer han.

"Selvfølgelig kan det være pinligt at skulle ud og forklare om tab og sårbarheder, men vi vurderer, at det også vil være billigere for os at være klar med processerne så hurtigt som muligt, hvis vi skulle blive hacket eller på anden vis blive kompromitteret," fortsætter Jacob Voetmann.

Sporene skræmmer
En af de sager, som blandt andet har Coops store interesse, er den amerikanske detailkæde Targets store datatab i slutningen af 2013.

Her mistede Target persondata på op mod 110 millioner kunder i form af blandt andet navne, adresser og kreditkortoplysninger, hvilket satte gang i det helt store udsalg af netop kreditoplysninger på nettets forbryder-sites.

Det kan du læse mere om her: Hackerangreb rammer en tredjedel af befolkningen.

"Target-sagen viser, at det økonomiske tab kan være rigtig stort, men det langsigtede tab i form af ens renommé er meget større, og der skal vi i sagens natur gerne undgå at havne," understreger Jacob Voetmann.

Han håber derfor også, at telebranchens mere eller mindre heldige erfaringer med at have meldepligt til Erhvervsstyrelsen ved persondatatab kan bruges fremadrettet, når EU-reglerne falder endeligt på plads.

"Der skulle jo gerne være lighed for loven, så vi som et stort brand står med det samme vilkår som eksempelvis mindre marketingbureauer, der kunne tænkes at være mindre opmærksomme på lovgivningen," lyder det fra Coop-juristen.

I den henseende peger han på, at et af de store spørgsmål bliver, om myndighederne har ressourcer nok til at håndhæve loven, så den rent faktisk også kommer til at omfatte alle virksomheder.

"Der er ingen tvivl om, at det europæiske datatilsyn vil få en langt vigtigere og større rolle end i dag, når forordningen træder i kraft," fortæller Jacob Voetmann.

Sådan forbereder netbutikkerne sig
Udover store danske virksomheder som Coop står danske netbutikker i alle størrelser med de samme udfordringer for at passe på kundernes data.

FDIH (Foreningen for Dansk Internet Handel) har fulgt lovarbejdet i EU-regi tæt, og FDIH's kommunikationschef Henrik Theil fortæller til Computerworld, at foreningens omkring 1.000 medlemmer har en del spørgsmål, inden EU-forordningen træder i kraft i 2018.

"Sådan helt firkantet sagt, er der jo ikke noget voldsomt nyt i, at man skal passe på sine kunders data. Nu er det bare sådan, at der kommer håndfaste sanktioner, hvis man ikke gør det," indleder Henrik Theil.

Han peger på, at især indhentning af kundernes samtykke for brug af data i den ene eller den anden sammenhæng er en knast, der eventuelt skal høvles over flere gange.

Det skyldes, at der på nuværende tidspunkt er uklarhed om, hvordan forordningen vil definere, at generelle data (læs: big data) bliver til personfølsomme data eksempelvis via databehandling, og hvornår og om de data kan bruges. 

"Vi kan potentielt ende i en situation, hvor butikkerne har meget svært ved at håndtere samtykkekravet, hvis butikkerne eksempelvis vil bruge kundernes data på en anden måde, end det de i første omgang har fået samtykke på. Det bliver lidt vel bøvlet at skulle indhente nyt samtykke hver gang," forklarer Henrik Theil.

Dansk lovtekst på trapperne
Derfor har FDIH på vegne af sine medlemmer afsat ressourcer af til lobbyarbejde hos Justitsministeriet, som er den danske myndighed, der er ansvarlig for at få skrevet forordningen ind i den danske lovgivning.

Det forventes, at udkastet til den danske lovtekst ligger klar allerede inden april i år.

"Vi skal helst undgå at havne i samme situation med cookie-lovgivningen, hvor intentionerne egentlig var gode, men hvor man får lagt sig lidt for fast til nogle regler, der ikke giver den store mening i praksis," lyder det fra Henrik Theil.

Han fortæller i den sammenhæng, at FDIH derfor nu vil have analyseret lovteksten til bunds.

Herefter vil foreningens medlemmer i form af godt 2.000 netbutikker i alle størrelser blive inviteret til seminarer og oplysningsmøder om, hvad de skal være opmærksomme på fremadrettet, når de håndterer kundernes data.

Udover FDIH's og andre foreningers kommende seminarer og orienteringsmøder afholder Computerworld også en større konference om datasikkerhed i slutningen af måneden, som du kan læse mere om her.

Læs også: 
Opråb til alle chefer: EU-stramningen af persondata-reglerne er dit ansvar

Detaljerne næsten på plads: Her er de nye skrappe data-regler fra EU




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
De 30 største danske it-virksomheder: Her er antallet af ansatte - og hvor mange penge, der bruges på løn
Top 100: Computerworld har nærstuderet årsregnskaberne fra 499 danske it- og televirksomheder og kan her bringe listen med de 30 største arbejdspladser. Se antallet af ansatte og få et indblik i, hvor mange penge virksomhederne bruger på løn til medarbejderne.
CIO
Du risikerer at blive hægtet helt af, hvis ikke dit netværk bliver fremtidssikret - og det haster
Klumme: Hver dag går mere 168,1 petabyte gennem netværket hos AT&T, hvilket svarer til 130 millioner timers video i HD. Det viser, hvor store krav der i dag stilles til en virksomheds netværk. Er du klar til det?
Comon
Oversigt: Her er de bedste Android-smartphones der kan købes i Danmark
Det vrimler med spændende Android-smartphones på markedet. Vi har samlet en oversigt over de bedste Android-telefoner, du kan købe herhjemme netop nu.
Job & Karriere
Se listen: Disse it-folk bliver ansat på stedet - cheferne skriger efter helt bestemte it-kompetencer
Der er en markant mangel på it-folk med helt bestemte kompetencer samtidig med, at it-cheferne er i gang med at øge bemandingen i it-organisationerne. Se listen med de mest efterspurgte it-kompetencer netop nu.
White paper
Sådan anvender du Microsofts Assessment og Planning Toolkit i dit it-miljø
Dette whitepaper gennemgår hvordan du anvender du Microsofts Assessment og Planning Toolkit i dit it-miljø og kommer med specifikke råd og konkret vejledning til anvendelsen.