GDPR og certificering af compliance – vi skal i gang med arbejdet nu

Klumme: Der skal anvendes mange interne ressourcer, både tid og penge, som kunne være anvendt på resultatskabende aktiviteter, på et projekt, der blot er til for ”at overholde loven." Men der er altså ingen vej uden om. Vi skal i gang med GDPR.

Der holdes fortsat mange seminarer om EU’s persondataforordning (EU-GDPR), og der møder fortsat mange frem til disse seminarer.

Jeg deltager i mange af dem, og jeg undres stadig over nogle af de spørgsmål, der stilles på dette tidspunkt. Jeg har før i andre fora gjort mig til talsmand for at alle danske virksomheder skal igennem en øvelse omkring, hvordan deres virksomhed bliver compliant.

At der på dette tidspunkt stadig stilles spørgsmål som ”hvad menes der med persondata?”, ”gælder det for virksomheder?” osv. siger bare noget om, at der ligger meget arbejde foran os alle.

Enhver virksomhed, der har blot én ansat, som de laver lønregnskab for, er omfattet af kravene i GDPR og skal leve op til forordningens ordlyd. Punktum.

Har man ikke indset dette endnu, er man ved at være sent ude. Der skal nemlig præsteres en relativt stor mængde arbejde på de indre linier, før man er i mål.

Hvad er i øvrigt ”i mål”?

I min optik er man i mål, når man kan tåle et uanmeldt besøg af Datatilsynet (efter 25. maj 2018) uden væsentlige skrammer.

Ingen – eller i hvert fald kun ganske få virksomheder - vil komme 100 procent i mål og være i stand til mat leve op til ALLE forordningens krav, selv om flere har ambitioner om det.

Bidrager ikke på bundlinien
Sagen er, at der skal leveres meget arbejde af interne ressourcer og med hjælp fra en vis mængde eksterne ressourcer. Det er arbejde, som ikke bidrager med én krone på bundlinien.

Virksomheder, der allerede er kommet i gang, sætter oftest som mål: ”Hvordan bliver vi compliant med den mindst mulig indsats”?

Det til trods for, at når projektet er igangsat, ligger for eksempel en ISO27001-certificering snublende nær - plus en række andre gode ting.

Der skal anvendes mange interne ressourcer, både tid og penge, som kunne være anvendt på resultatskabende aktiviteter, på et projekt, der blot er til for ”at overholde loven”.

”Lad os få det overstået og komme videre med noget. der stemmer overens med vores forretningsmålsætninger,” må være over­skrif­ten for mange virksomheder lige nu.

Der mangler en markant motivation
Tag ikke fejl. Jeg synes, det er alt ære og ihærdighed værd, at der anvendes ressourcer på at sikre mine personlige data, når de er overladt til andre, og at det er mig og mine data, der er i fokus, når virksomheder, organisationer og offentlige myndigheder sætter nye systemer i drift.

Der mangler pt en faktor, der kan give virksomhederne sparket til at komme i gang – en markant motivation.

Kan projektet for eksempel anvendes til at sikre en virksomhed en konkurrencefordel i forhold til en konkurrent, vil det være en væsentlig motivation for at komme i gang.

En konkurrencefordel giver dog kun mening for det næste halve år. Bedre er det, hvis en compliance-certificering kan anvendes også efter 25. maj 2018.

Forordningens artikel 42 og 43 behandler og sætter rammer for en sådan certificering (”The European Data Protection Seal”), så det er ikke bare en fiks idé fra min side.

Justitsministeriet diskuterer i dens betænkning 1565 (på cirka 1.300 sider) om der skal certificeres systemer eller virksomheder. Jeg tror begge.

Man kan udstede en certificering på at eksempelvis NAV-version ”nyeste” umiddelbart kan certificeres som compliant, og således blandt andet leve op til kravene om både privacy by default and privacy by design, ligesom det kan åbne for sletning af data, når der ikke mere er behandlingshjemmel til rådighed.

Det kan ingen virksomheder dog bruge til noget, idet enhver virksomhed kan vælge at bruge systemet på en måde, som gør system-certificeringen værdiløs, ligesom man måske har fået udformet tilpasninger, som bryder med alle regler. En systemcertificering kan derfor kun anvendes til at lette en virksomheds certificering.

Certificering på at være compliant
Det virkelige certifikat skal være virksomhedens certifikat på, at man er compliant i implementeringen af den porteføjle af systemer og forretningsgange, der er gældende i virksomheden på certificeringstidspunktet, samt at man har procedurer i forretningen til at holde nye systemer og forretningsgange indenfor forordningens rammer.

Virksomheder, der arbejder med offentlige myndigheder oplever ofte i databehandleraftaler at skulle indhente ISAE erklæringer på persondatahåndtering og it-sikkerhed (ISAE3000 og ISAE3402), hvilket koster penge.

Der er ingen tvivl om at en sådan certificering koster penge og arbejde, men det meste af det arbejde udføres allerede igennem projekter, som mange virksomheder lige nu gennemgår eller om kort tid indleder. Ved at arbejde mod en certificering har projektet et kvantificerbart mål, og man får noget, der kan anvendes i praksis i forhandlinger med kunder og leverandører.

Nu er det op til Datatilsynet og Justitsministeriet at leve op til forordningens artikel 43 (certificerings instanser) og få udpeget og certificeret ”bureauer”, der kan certificere virksomheder.




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
CIO Kristian Hjort-Madsen har spredt PFA's it ud i alle mulige retninger for at få mere kog i gryden: "Jeg tror simpelthen ikke på, at vi it-folk tænker visionært nok"
Nomineret til Årets CIO 2018: Hos PFA skal it-chefen ikke forretningsudvikle. Han skal sørge for, at hele organisationen tænker digitalt fra starten. CIO Kristian Hjort-Madsen har nemlig ikke alle de gode idéer selv.
Computerworld
Seneste Windows 10-opdatering kan få din computer til at gå i sort - selv Microsofts egne Surface-enheder ramt
Der er knas i den store Windows 10 forårsopdatering. I værste tilfælde kan den få din computer til at gå helt i sort.
CIO
Allersidste opdatering på vej: Om en uge er det slut med stor-version af Windows 10 - skynd dig at opdatere
Om en uge er det slut for altid med den første store udgave af Windows 10, som Microsoft efter 29 måneder ikke længere vil supportere.
Job & Karriere
Vil strejkende it-folk kunne lægge hele Statens It ned? "Det har vi ingen kommentarer til," lyder den kryptiske melding fra Statens It
50 it-medarbejdere hos Statens It truer med at nedlægge arbejdet i sympatistrejke. Vil det betyde, at Statens It går ned?
Statens It nægter at svare.
White paper
På jagt efter nyt BI-system? … Her er analysen og de 25 vigtigste KPI’er
Et godt BI-system er en central del af en digitaliseret virksomhed. Dette whitepaper fra EG dykker ned i en analyse af de nødvendige overvejelser på det organisatoriske, teknologiske og brugerorienterede niveau. Samtidig får du en liste med 25 vigtige KPI’er inden for ni funktionsområder, så du kan se, hvad andre virksomheder holder øje med.