Sådan gør Coop sig klar til nye skrappe persondata-regler fra EU

Coop har som stor, datatung virksomhed fulgt EU's kommende persondata-lov i et par år i forsøget på at tilpasse forretningen til den nye virkelighed. Læs her, hvordan selskabet griber opgaven an.

I omkring to år har landets største detailvirksomhed Coop Danmark indtil videre forberedt sig til EU's kommende persondataforordning, som med al sandsynlighed træder i kraft i 2018.

EU-forordningen betyder blandt andet, at virksomheder med adresse i Europa bliver tvunget til at melde om persondata som følge af sjusk eller hackerangreb, samt kan se frem til en bøde på op mod fire procent af sin globale omsætning, hvis der er mistet persondata.

Det kan du læse mere om her: Så voldsomt vil nye EU-regler ramme danske virksomheder: 10 virksomheder vil skulle erkende hacker-angreb hver eneste dag

Jurist Jacob Voetmann fra Coop Legal fortæller, at han i efteråret selv blev ansat hos supermarkedskæden med blandt andet Irma, Fakta, Kvickly og Superbrugen i porteføljen for at sætte endnu mere fokus på fremtidens persondata-udfordring.

"Vi er i gang med at få en masse processer på plads, og vi kommer også til at investere et indtil videre ukendt millionbeløb i at opgradere dele af det tekniske setup. Vores 1,5 millioner medlemmer har jo betroet os at passe på deres data, og dem vil vi selvfølgelig gøre alt for at passe på," forklarer Jacob Voetmann til Computerworld.

Billigst at være klar
Coop-juristen fremhæver, at detailkæden er på forkant med udviklingen, da både virksomhedens jurister og teknikere længe har vist, at forordningen ville komme.

"Vi begyndte på opstramningen allerede inden EU-teksten lå klar. For når der eksempelvis skal godkendes budgetter til arbejdet med persondata, er det jo en stor fordel at være tidligt ude i en så stor organisation som vores," fortæller Jacob Voetmann.

Og ved at være tidligt ude af startblokken omkring fastsættelse af procedurer ved eventuelle persondata-tab mener han, at virksomheder står bedre rustet, når EU-forordningen er klar om føje år.

"Det ser faktisk ud til, at det er en fordel at anmelde tab, da bøderne ved persondata-tab blandt andet bliver fastsat efter, hvor god man er til anmelde tab til de berørte kunder og til myndighederne. Derfor har vi stor fokus på netop dette område," forklarer han.

"Selvfølgelig kan det være pinligt at skulle ud og forklare om tab og sårbarheder, men vi vurderer, at det også vil være billigere for os at være klar med processerne så hurtigt som muligt, hvis vi skulle blive hacket eller på anden vis blive kompromitteret," fortsætter Jacob Voetmann.

Sporene skræmmer
En af de sager, som blandt andet har Coops store interesse, er den amerikanske detailkæde Targets store datatab i slutningen af 2013.

Her mistede Target persondata på op mod 110 millioner kunder i form af blandt andet navne, adresser og kreditkortoplysninger, hvilket satte gang i det helt store udsalg af netop kreditoplysninger på nettets forbryder-sites.

Det kan du læse mere om her: Hackerangreb rammer en tredjedel af befolkningen.

"Target-sagen viser, at det økonomiske tab kan være rigtig stort, men det langsigtede tab i form af ens renommé er meget større, og der skal vi i sagens natur gerne undgå at havne," understreger Jacob Voetmann.

Han håber derfor også, at telebranchens mere eller mindre heldige erfaringer med at have meldepligt til Erhvervsstyrelsen ved persondatatab kan bruges fremadrettet, når EU-reglerne falder endeligt på plads.

"Der skulle jo gerne være lighed for loven, så vi som et stort brand står med det samme vilkår som eksempelvis mindre marketingbureauer, der kunne tænkes at være mindre opmærksomme på lovgivningen," lyder det fra Coop-juristen.

I den henseende peger han på, at et af de store spørgsmål bliver, om myndighederne har ressourcer nok til at håndhæve loven, så den rent faktisk også kommer til at omfatte alle virksomheder.

"Der er ingen tvivl om, at det europæiske datatilsyn vil få en langt vigtigere og større rolle end i dag, når forordningen træder i kraft," fortæller Jacob Voetmann.

Sådan forbereder netbutikkerne sig
Udover store danske virksomheder som Coop står danske netbutikker i alle størrelser med de samme udfordringer for at passe på kundernes data.

FDIH (Foreningen for Dansk Internet Handel) har fulgt lovarbejdet i EU-regi tæt, og FDIH's kommunikationschef Henrik Theil fortæller til Computerworld, at foreningens omkring 1.000 medlemmer har en del spørgsmål, inden EU-forordningen træder i kraft i 2018.

"Sådan helt firkantet sagt, er der jo ikke noget voldsomt nyt i, at man skal passe på sine kunders data. Nu er det bare sådan, at der kommer håndfaste sanktioner, hvis man ikke gør det," indleder Henrik Theil.

Han peger på, at især indhentning af kundernes samtykke for brug af data i den ene eller den anden sammenhæng er en knast, der eventuelt skal høvles over flere gange.

Det skyldes, at der på nuværende tidspunkt er uklarhed om, hvordan forordningen vil definere, at generelle data (læs: big data) bliver til personfølsomme data eksempelvis via databehandling, og hvornår og om de data kan bruges. 

"Vi kan potentielt ende i en situation, hvor butikkerne har meget svært ved at håndtere samtykkekravet, hvis butikkerne eksempelvis vil bruge kundernes data på en anden måde, end det de i første omgang har fået samtykke på. Det bliver lidt vel bøvlet at skulle indhente nyt samtykke hver gang," forklarer Henrik Theil.

Dansk lovtekst på trapperne
Derfor har FDIH på vegne af sine medlemmer afsat ressourcer af til lobbyarbejde hos Justitsministeriet, som er den danske myndighed, der er ansvarlig for at få skrevet forordningen ind i den danske lovgivning.

Det forventes, at udkastet til den danske lovtekst ligger klar allerede inden april i år.

"Vi skal helst undgå at havne i samme situation med cookie-lovgivningen, hvor intentionerne egentlig var gode, men hvor man får lagt sig lidt for fast til nogle regler, der ikke giver den store mening i praksis," lyder det fra Henrik Theil.

Han fortæller i den sammenhæng, at FDIH derfor nu vil have analyseret lovteksten til bunds.

Herefter vil foreningens medlemmer i form af godt 2.000 netbutikker i alle størrelser blive inviteret til seminarer og oplysningsmøder om, hvad de skal være opmærksomme på fremadrettet, når de håndterer kundernes data.

Udover FDIH's og andre foreningers kommende seminarer og orienteringsmøder afholder Computerworld også en større konference om datasikkerhed i slutningen af måneden, som du kan læse mere om her.

Læs også: 
Opråb til alle chefer: EU-stramningen af persondata-reglerne er dit ansvar

Detaljerne næsten på plads: Her er de nye skrappe data-regler fra EU




Premium
Digitalisering har været motoren: Landets største virksomheder har hævet produktiviteten med 10 milliarder kroner under corona
Corona-krisen har ført til øget produktivitet og en øget digital indsats. Ny undersøgelse dokumenterer sort på hvidt, at produktiviteten for en række virksomheder er øget under corona.
Computerworld
Det nye MitID er et tigerspring for bedre cybersikkerhed
Klumme: Det nye MitID er en enestående mulighed for et markant løft af it-sikkerheden i danske kommuner. Med baggrund i udfasningen af det nuværende NemID kan de samtidig forbedre og styrke deres it-systemers værn overfor cyberangreb.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
Job & Karriere
Regner din ferie væk? Brug tiden på at søge en af disse otte stillinger, der er ledige netop nu
Det sjasker ned over hele Danmark. Du kan bruge de våde sommerdage på at søge et af disse otte job, der er ledige lige nu.
White paper
Sådan vinder du større anerkendelse for din sikkerhedsindsats
De fleste IT-sikkerhedsansvarlige oplever undertiden, at topledelsen ikke helt forstår og anerkender de kritiske cybersikkerhedsorienterede udfordringer, virksomheden skal håndtere. Ja, man fornemmer måske endda, at situationens alvor slet ikke trænger igennem på direktionsgangen.