GDPR og certificering af compliance – vi skal i gang med arbejdet nu

Klumme: Der skal anvendes mange interne ressourcer, både tid og penge, som kunne være anvendt på resultatskabende aktiviteter, på et projekt, der blot er til for ”at overholde loven." Men der er altså ingen vej uden om. Vi skal i gang med GDPR.

Artikel top billede

(Foto: Dan Jensen)

Der holdes fortsat mange seminarer om EU’s persondataforordning (EU-GDPR), og der møder fortsat mange frem til disse seminarer.

Jeg deltager i mange af dem, og jeg undres stadig over nogle af de spørgsmål, der stilles på dette tidspunkt. Jeg har før i andre fora gjort mig til talsmand for at alle danske virksomheder skal igennem en øvelse omkring, hvordan deres virksomhed bliver compliant.

At der på dette tidspunkt stadig stilles spørgsmål som ”hvad menes der med persondata?”, ”gælder det for virksomheder?” osv. siger bare noget om, at der ligger meget arbejde foran os alle.

Enhver virksomhed, der har blot én ansat, som de laver lønregnskab for, er omfattet af kravene i GDPR og skal leve op til forordningens ordlyd. Punktum.

Har man ikke indset dette endnu, er man ved at være sent ude. Der skal nemlig præsteres en relativt stor mængde arbejde på de indre linier, før man er i mål.

Hvad er i øvrigt ”i mål”?

I min optik er man i mål, når man kan tåle et uanmeldt besøg af Datatilsynet (efter 25. maj 2018) uden væsentlige skrammer.

Ingen – eller i hvert fald kun ganske få virksomheder - vil komme 100 procent i mål og være i stand til mat leve op til ALLE forordningens krav, selv om flere har ambitioner om det.

Bidrager ikke på bundlinien

Sagen er, at der skal leveres meget arbejde af interne ressourcer og med hjælp fra en vis mængde eksterne ressourcer. Det er arbejde, som ikke bidrager med én krone på bundlinien.

Virksomheder, der allerede er kommet i gang, sætter oftest som mål: ”Hvordan bliver vi compliant med den mindst mulig indsats”?

Det til trods for, at når projektet er igangsat, ligger for eksempel en ISO27001-certificering snublende nær - plus en række andre gode ting.

Der skal anvendes mange interne ressourcer, både tid og penge, som kunne være anvendt på resultatskabende aktiviteter, på et projekt, der blot er til for ”at overholde loven”.

”Lad os få det overstået og komme videre med noget. der stemmer overens med vores forretningsmålsætninger,” må være over­skrif­ten for mange virksomheder lige nu.

Der mangler en markant motivation

Tag ikke fejl. Jeg synes, det er alt ære og ihærdighed værd, at der anvendes ressourcer på at sikre mine personlige data, når de er overladt til andre, og at det er mig og mine data, der er i fokus, når virksomheder, organisationer og offentlige myndigheder sætter nye systemer i drift.

Der mangler pt en faktor, der kan give virksomhederne sparket til at komme i gang – en markant motivation.

Kan projektet for eksempel anvendes til at sikre en virksomhed en konkurrencefordel i forhold til en konkurrent, vil det være en væsentlig motivation for at komme i gang.

En konkurrencefordel giver dog kun mening for det næste halve år. Bedre er det, hvis en compliance-certificering kan anvendes også efter 25. maj 2018.

Forordningens artikel 42 og 43 behandler og sætter rammer for en sådan certificering (”The European Data Protection Seal”), så det er ikke bare en fiks idé fra min side.

Justitsministeriet diskuterer i dens betænkning 1565 (på cirka 1.300 sider) om der skal certificeres systemer eller virksomheder. Jeg tror begge.

Man kan udstede en certificering på at eksempelvis NAV-version ”nyeste” umiddelbart kan certificeres som compliant, og således blandt andet leve op til kravene om både privacy by default and privacy by design, ligesom det kan åbne for sletning af data, når der ikke mere er behandlingshjemmel til rådighed.

Det kan ingen virksomheder dog bruge til noget, idet enhver virksomhed kan vælge at bruge systemet på en måde, som gør system-certificeringen værdiløs, ligesom man måske har fået udformet tilpasninger, som bryder med alle regler. En systemcertificering kan derfor kun anvendes til at lette en virksomheds certificering.

Certificering på at være compliant

Det virkelige certifikat skal være virksomhedens certifikat på, at man er compliant i implementeringen af den porteføjle af systemer og forretningsgange, der er gældende i virksomheden på certificeringstidspunktet, samt at man har procedurer i forretningen til at holde nye systemer og forretningsgange indenfor forordningens rammer.

Virksomheder, der arbejder med offentlige myndigheder oplever ofte i databehandleraftaler at skulle indhente ISAE erklæringer på persondatahåndtering og it-sikkerhed (ISAE3000 og ISAE3402), hvilket koster penge.

Der er ingen tvivl om at en sådan certificering koster penge og arbejde, men det meste af det arbejde udføres allerede igennem projekter, som mange virksomheder lige nu gennemgår eller om kort tid indleder. Ved at arbejde mod en certificering har projektet et kvantificerbart mål, og man får noget, der kan anvendes i praksis i forhandlinger med kunder og leverandører.

Nu er det op til Datatilsynet og Justitsministeriet at leve op til forordningens artikel 43 (certificerings instanser) og få udpeget og certificeret ”bureauer”, der kan certificere virksomheder.

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Tekniske specialister til ITSM og CMDB til opbygning af Forsvarets nye Digital Backbone

Midtjylland

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Cyberdivisionen søger leder til Lokal IT Servicecenter i Holstebro

Midtjylland

Forsvarsministeriets Materiel- og Indkøbsstyrelse

IT-supporter til Lokal IT i Slagelse

Region Sjælland

Computerworld Events

Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

Sikkerhed | Højbjerg, Aarhus

Cyber Security Summit 2026 - Aarhus

Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

Digital transformation | Aarhus

AI i det offentlige - Aarhus

Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

Digital transformation | Køge

Derfor skal du videre fra Dynamics AX – og sådan gør du

Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

Se alle vores events inden for it

Navnenyt fra it-Danmark

Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

Claus Berg

Netip A/S

Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

Jakob Dirksen

GlobalConnect

Netip A/S har pr. 1. maj 2026 ansat Steffen Bendix Søjberg som Systemkonsulent ved netIP's kontor i Rødekro. Han kommer fra en stilling som Systemadministr,og har været i branchen i mange år. Nyt job
Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

Iver Jakobsen

Comsystem A/S