Den nye EU-persondataforordning, også kaldet databeskyttelsesforordningen, træder i kraft 25. maj 2018.
Regelsættet indeholder en lang række nye og skærpede krav til virksomheder, der behandler data, som direkte eller indirekte kan relateres til en fysisk person.
De nye regler betyder blandt andet, at virksomheden fremover skal have det totale overblik og kontrol over data-flowet i virksomheden, og hvis der skulle ske et brud på datasikkerheden, skal virksomheder selv inden for en kort tidsramme efter opdagelsen af bruddet informere samtlige ramte organisationer og personer.
I dag mener fire ud af 10 virksomheder, at de er klar til de nye regler, men kun halvdelen af de danske virksomheder forventer, at have sikret deres persondata tilstrækkeligt, inden de nye regler træder i kraft om halvandet år.
Det viser en ny undersøgelse fra PwC.
EU-persondataforordning ligger i tankerne hos mange it-chefer. Læs eksempelvis: Lær af Jeudans it-direktør: Sådan får du ledelsen med på ideen om at rykke ud i skyen
"Vi anbefaler, at man hurtigst muligt sætter sig ind i, hvordan de nye krav vil påvirke organisationen, og hvilke eventuelle udfordringer man står overfor, når det gælder efterlevelse af de kommende og skærpede krav til persondatabeskyttelse," fortæller Mads Nørgaard Madsen, der er partner og it-sikkerhedsekspert i PwC.
Det er selvfølgelig lettere sagt end gjort, og mange virksomheder er langt fra sikre på, hvordan den proces skal håndteres.
"Det først trin til at komme i gang er at finde et team, der kan varetage opgaven," fortæller Olga Nielsen, jurist og selvstændige data protection officer.
Hun peger på, at ejerskabet til udfordringen er uhyre vigtig for at nå målet.
"Den bedste løsning er, hvis man kan finde de nødvendige ressourcer blandt sine medarbejdere. Det kan være folk, der allerede har et godt kendskab til procedurerne i firmaet eller interesserede, der skal opkvalificeres til opgaven gennem uddannelse," fortæller hun til Computerworld.
"Hvis det ikke er en mulighed, så kan en ekstern rådgiver blive nødvendig. Men ejerskabet til løsningen bliver bedst, hvis medarbejderne kan påtage sig opgaven."
Det handler også om, at alle medarbejdere i virksomheden inddrages, så de nye regler bliver til en kultur og ikke bare et regelsæt, der ligges som et kapitel i personalehåndbogen, fortæller hun.
Udfordringen er, at reglerne - selv om langt fra alle er nye - om persondata er omfattende, og hele 77 procent af de danske virksomheder vurderer i PcW-undersøgelsen, at de i fremtiden som minimum vil være nødt til at ændre forretningsgange og procedurer for at tilpasse sig de kommende regler om persondata.
"Undersøgelsen viser, at mange virksomheder har fået øjnene op for, at der skal ske væsentlige ændringer i forretningen, når de nye regler om persondata bliver en realitet. Så meget desto vigtigere, at flere virksomheder vænner sig til at arbejde med databeskyttelse som en integreret del af virksomhedens øvrige forretningsprocesser," fortæller Mads Nørgaard Madsen.
Han henviser til, at en tredjedel af virksomhederne, der er med i undersøgelsen, kun i nogen grad forventer at blive klar, når de nye regler træder i kraft til maj 2018.
Læs også: Ny undersøgelse: Danske virksomheder sløser med nye skrappe EU-persondataregler
GAP er ikke gab
Når de ansvarlige personer er fundet til EU-persondataforordningsholdet, så består deres første fase i at finde de uregelmæssigheder, der er mellem firmaets arbejdsgange og reglerne fra Bruxelles.
"Der skal foretages en (GAP-)analyse, der kan beskrive, hvordan strategiske eller taktiske mål forankres i firmaet for såvel det administrative, operationelle eller det tekniske niveau. Analysen skal danne grundlag for de indsatsområder, der skal fokuseres på, og de handlinger der skal foretages i forhold til reglerne. Det handler altså ikke kun om it-afdelingen, men også HR, administrationen og de øvrige enheder," siger Olga Nielsen.
Læs også: Syv praktiske råd om EU's persondata-regler: Sådan kommer din virksomhed helt i mål
For-analysens konklusioner skal herefter gøres til virkelighed og implementeres, hvilket altså ofte vil betyde justeringer i virksomhedens drift eller it-procedurer.
"I denne fase er det vigtigt, at der også bliver gjort plads og givet tid til, at man kan teste sine løsninger for at se, om de fine planer fra PowerPoint-præsentationerne også passer ind i hverdagens drift," siger Olga Nielsen og fortsætter:
"Det afgørende for et godt resultat er, at tingene kan lade sig gøre i praksis, og at medarbejderne efterlever politikkerne."
Rosinen i pølseenden er ifølge data protection-officeren, at man også får klarlagt og indøvet nogle kontrolprocedurer til sine løsninger, så tingene ikke skrider over tid.
Computerworld afholder snart to store seminarer om EU-persondataforordningen, hvor du kan få meget mere at vide om jura, regler samt forskellige teknologiske muligheder for at imødekomme de nye krav.
Vil du med?
Se programmet og tilmeld dig seminaret i København her: Bliv klar til EU's nye persondataforordning, København.
Se programmet og tilmeld dig seminaret i Aarhus her: Bliv klar til EU's nye persondataforordning, Aarhus.
Læs også:
Syv praktiske råd om EU's persondata-regler: Sådan kommer din virksomhed helt i mål
Ny undersøgelse: Danske virksomheder sløser med nye skrappe EU-persondataregler