Fem gode råd: Sådan kommer du i gang med den nye EU-persondataforordning

Er din virksomhed rustet til den nye EU-persondataforordning? Her er en håndfuld tip til at komme i gang, så du undgår bøder og prestigetab.

Den nye EU-persondataforordning, også kaldet databeskyttelsesforordningen, træder i kraft 25. maj 2018.

Regelsættet indeholder en lang række nye og skærpede krav til virksomheder, der behandler data, som direkte eller indirekte kan relateres til en fysisk person.

De nye regler betyder blandt andet, at virksomheden fremover skal have det totale overblik og kontrol over data-flowet i virksomheden, og hvis der skulle ske et brud på datasikkerheden, skal virksomheder selv inden for en kort tidsramme efter opdagelsen af bruddet informere samtlige ramte organisationer og personer.

I dag mener fire ud af 10 virksomheder, at de er klar til de nye regler, men kun halvdelen af de danske virksomheder forventer, at have sikret deres persondata tilstrækkeligt, inden de nye regler træder i kraft om halvandet år.

Det viser en ny undersøgelse fra PwC.

EU-persondataforordning ligger i tankerne hos mange it-chefer. Læs eksempelvis: Lær af Jeudans it-direktør: Sådan får du ledelsen med på ideen om at rykke ud i skyen

"Vi anbefaler, at man hurtigst muligt sætter sig ind i, hvordan de nye krav vil påvirke organisationen, og hvilke eventuelle udfordringer man står overfor, når det gælder efterlevelse af de kommende og skærpede krav til persondatabeskyttelse," fortæller Mads Nørgaard Madsen, der er partner og it-sikkerhedsekspert i PwC.

Det er selvfølgelig lettere sagt end gjort, og mange virksomheder er langt fra sikre på, hvordan den proces skal håndteres.

"Det først trin til at komme i gang er at finde et team, der kan varetage opgaven," fortæller Olga Nielsen, jurist og selvstændige data protection officer.

Læs også: Den nye EU-persondataforordning er på vej: Bliv klar til forordningen på Computerworlds store heldags-seminar

Hun peger på, at ejerskabet til udfordringen er uhyre vigtig for at nå målet.

"Den bedste løsning er, hvis man kan finde de nødvendige ressourcer blandt sine medarbejdere. Det kan være folk, der allerede har et godt kendskab til procedurerne i firmaet eller interesserede, der skal opkvalificeres til opgaven gennem uddannelse," fortæller hun til Computerworld.

"Hvis det ikke er en mulighed, så kan en ekstern rådgiver blive nødvendig. Men ejerskabet til løsningen bliver bedst, hvis medarbejderne kan påtage sig opgaven."

Det handler også om, at alle medarbejdere i virksomheden inddrages, så de nye regler bliver til en kultur og ikke bare et regelsæt, der ligges som et kapitel i personalehåndbogen, fortæller hun.

Udfordringen er, at reglerne - selv om langt fra alle er nye - om persondata er omfattende, og hele 77 procent af de danske virksomheder vurderer i PcW-undersøgelsen, at de i fremtiden som minimum vil være nødt til at ændre forretningsgange og procedurer for at tilpasse sig de kommende regler om persondata.

"Undersøgelsen viser, at mange virksomheder har fået øjnene op for, at der skal ske væsentlige ændringer i forretningen, når de nye regler om persondata bliver en realitet. Så meget desto vigtigere, at flere virksomheder vænner sig til at arbejde med databeskyttelse som en integreret del af virksomhedens øvrige forretningsprocesser," fortæller Mads Nørgaard Madsen.

Han henviser til, at en tredjedel af virksomhederne, der er med i undersøgelsen, kun i nogen grad forventer at blive klar, når de nye regler træder i kraft til maj 2018.

Læs også: Ny undersøgelse: Danske virksomheder sløser med nye skrappe EU-persondataregler

GAP er ikke gab
Når de ansvarlige personer er fundet til EU-persondataforordningsholdet, så består deres første fase i at finde de uregelmæssigheder, der er mellem firmaets arbejdsgange og reglerne fra Bruxelles.

"Der skal foretages en (GAP-)analyse, der kan beskrive, hvordan strategiske eller taktiske mål forankres i firmaet for såvel det administrative, operationelle eller det tekniske niveau. Analysen skal danne grundlag for de indsatsområder, der skal fokuseres på, og de handlinger der skal foretages i forhold til reglerne. Det handler altså ikke kun om it-afdelingen, men også HR, administrationen og de øvrige enheder," siger Olga Nielsen.

Læs også: Syv praktiske råd om EU's persondata-regler: Sådan kommer din virksomhed helt i mål

For-analysens konklusioner skal herefter gøres til virkelighed og implementeres, hvilket altså ofte vil betyde justeringer i virksomhedens drift eller it-procedurer.

"I denne fase er det vigtigt, at der også bliver gjort plads og givet tid til, at man kan teste sine løsninger for at se, om de fine planer fra PowerPoint-præsentationerne også passer ind i hverdagens drift," siger Olga Nielsen og fortsætter:

"Det afgørende for et godt resultat er, at tingene kan lade sig gøre i praksis, og at medarbejderne efterlever politikkerne."

Rosinen i pølseenden er ifølge data protection-officeren, at man også får klarlagt og indøvet nogle kontrolprocedurer til sine løsninger, så tingene ikke skrider over tid.

Computerworld afholder snart to store seminarer om EU-persondataforordningen, hvor du kan få meget mere at vide om jura, regler samt forskellige teknologiske muligheder for at imødekomme de nye krav.

Vil du med?

Se programmet og tilmeld dig seminaret i København her: Bliv klar til EU's nye persondataforordning, København.

Se programmet og tilmeld dig seminaret i Aarhus her: Bliv klar til EU's nye persondataforordning, Aarhus.


Læs også:
Syv praktiske råd om EU's persondata-regler: Sådan kommer din virksomhed helt i mål

Ny undersøgelse: Danske virksomheder sløser med nye skrappe EU-persondataregler

Den nye EU-persondataforordning er på vej: Bliv klar til forordningen på Computerworlds store heldags-seminar



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Danmarks Statistik skifter fra Oracle og SAS Institute til open source-platforme for at spare på licensbetalinger: "Vi ser et teknologi-landskab, hvor nogle af de store spillere er ved at blive overhalet af nye letvægtsprodukter"
Interview: For at nedbringe udgifterne til de årlige licensbetalinger mindsker Danmarks Statistik forbruget af kerner hos Oracle og SAS Institute for i stedet at bruge open source-platforme. "Vi har haft sindssygt gode resultater med at introducere dem. På de åbne platforme kan vi bygge en del mere selv," siger CIO Annie Stahel. Se platformene her.
Computerworld
NemID ramt af nedbrud
Det er ikke muligt at logge på med NemID i øjeblikket. Nets bekræfter, at der er driftsproblemer. (Opdateret).
CIO
Torben Fabrin og Arla måtte på få dage omstille hele deres produktion da coronaen ramte
Da coronaen ramte verden måtte mejerigiganten Arla på få dage omstille sin produktion. Samtidig voksede salget massivt til supermarkeder mens institutioner og restauranter gik næsten i stå. Hør hvordan Arla kom gennem krisen ved blandt andet være klar med realtime analytics.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
Det skal dit endpoint detection and response-system kunne
EDR, eller endpoint detection and response, lovede egentlig bedre it-sikkerhed og bedre overblik. Men resultaterne er ikke helt overbevisende. I dette whitepaper kan du læse om nogle af begrundelserne for, at traditionel EDR kan drille – blandt andet et systemerne kæmper med manglende integration af data fra andre kilder. Samtidig får du i dette whitepaper en checkliste for, hvad du kan forvente at dit endpoint detection and response-system skal kunne samt en række relevante use cases.