GDPR og certificering af compliance – vi skal i gang med arbejdet nu

Klumme: Der skal anvendes mange interne ressourcer, både tid og penge, som kunne være anvendt på resultatskabende aktiviteter, på et projekt, der blot er til for ”at overholde loven." Men der er altså ingen vej uden om. Vi skal i gang med GDPR.

Der holdes fortsat mange seminarer om EU’s persondataforordning (EU-GDPR), og der møder fortsat mange frem til disse seminarer.

Jeg deltager i mange af dem, og jeg undres stadig over nogle af de spørgsmål, der stilles på dette tidspunkt. Jeg har før i andre fora gjort mig til talsmand for at alle danske virksomheder skal igennem en øvelse omkring, hvordan deres virksomhed bliver compliant.

At der på dette tidspunkt stadig stilles spørgsmål som ”hvad menes der med persondata?”, ”gælder det for virksomheder?” osv. siger bare noget om, at der ligger meget arbejde foran os alle.

Enhver virksomhed, der har blot én ansat, som de laver lønregnskab for, er omfattet af kravene i GDPR og skal leve op til forordningens ordlyd. Punktum.

Har man ikke indset dette endnu, er man ved at være sent ude. Der skal nemlig præsteres en relativt stor mængde arbejde på de indre linier, før man er i mål.

Hvad er i øvrigt ”i mål”?

I min optik er man i mål, når man kan tåle et uanmeldt besøg af Datatilsynet (efter 25. maj 2018) uden væsentlige skrammer.

Ingen – eller i hvert fald kun ganske få virksomheder - vil komme 100 procent i mål og være i stand til mat leve op til ALLE forordningens krav, selv om flere har ambitioner om det.

Bidrager ikke på bundlinien
Sagen er, at der skal leveres meget arbejde af interne ressourcer og med hjælp fra en vis mængde eksterne ressourcer. Det er arbejde, som ikke bidrager med én krone på bundlinien.

Virksomheder, der allerede er kommet i gang, sætter oftest som mål: ”Hvordan bliver vi compliant med den mindst mulig indsats”?

Det til trods for, at når projektet er igangsat, ligger for eksempel en ISO27001-certificering snublende nær - plus en række andre gode ting.

Der skal anvendes mange interne ressourcer, både tid og penge, som kunne være anvendt på resultatskabende aktiviteter, på et projekt, der blot er til for ”at overholde loven”.

”Lad os få det overstået og komme videre med noget. der stemmer overens med vores forretningsmålsætninger,” må være over­skrif­ten for mange virksomheder lige nu.

Der mangler en markant motivation
Tag ikke fejl. Jeg synes, det er alt ære og ihærdighed værd, at der anvendes ressourcer på at sikre mine personlige data, når de er overladt til andre, og at det er mig og mine data, der er i fokus, når virksomheder, organisationer og offentlige myndigheder sætter nye systemer i drift.

Der mangler pt en faktor, der kan give virksomhederne sparket til at komme i gang – en markant motivation.

Kan projektet for eksempel anvendes til at sikre en virksomhed en konkurrencefordel i forhold til en konkurrent, vil det være en væsentlig motivation for at komme i gang.

En konkurrencefordel giver dog kun mening for det næste halve år. Bedre er det, hvis en compliance-certificering kan anvendes også efter 25. maj 2018.

Forordningens artikel 42 og 43 behandler og sætter rammer for en sådan certificering (”The European Data Protection Seal”), så det er ikke bare en fiks idé fra min side.

Justitsministeriet diskuterer i dens betænkning 1565 (på cirka 1.300 sider) om der skal certificeres systemer eller virksomheder. Jeg tror begge.

Man kan udstede en certificering på at eksempelvis NAV-version ”nyeste” umiddelbart kan certificeres som compliant, og således blandt andet leve op til kravene om både privacy by default and privacy by design, ligesom det kan åbne for sletning af data, når der ikke mere er behandlingshjemmel til rådighed.

Det kan ingen virksomheder dog bruge til noget, idet enhver virksomhed kan vælge at bruge systemet på en måde, som gør system-certificeringen værdiløs, ligesom man måske har fået udformet tilpasninger, som bryder med alle regler. En systemcertificering kan derfor kun anvendes til at lette en virksomheds certificering.

Certificering på at være compliant
Det virkelige certifikat skal være virksomhedens certifikat på, at man er compliant i implementeringen af den porteføjle af systemer og forretningsgange, der er gældende i virksomheden på certificeringstidspunktet, samt at man har procedurer i forretningen til at holde nye systemer og forretningsgange indenfor forordningens rammer.

Virksomheder, der arbejder med offentlige myndigheder oplever ofte i databehandleraftaler at skulle indhente ISAE erklæringer på persondatahåndtering og it-sikkerhed (ISAE3000 og ISAE3402), hvilket koster penge.

Der er ingen tvivl om at en sådan certificering koster penge og arbejde, men det meste af det arbejde udføres allerede igennem projekter, som mange virksomheder lige nu gennemgår eller om kort tid indleder. Ved at arbejde mod en certificering har projektet et kvantificerbart mål, og man får noget, der kan anvendes i praksis i forhandlinger med kunder og leverandører.

Nu er det op til Datatilsynet og Justitsministeriet at leve op til forordningens artikel 43 (certificerings instanser) og få udpeget og certificeret ”bureauer”, der kan certificere virksomheder.




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
De 30 største danske it-virksomheder: Her er antallet af ansatte - og hvor mange penge, der bruges på løn
Top 100: Computerworld har nærstuderet årsregnskaberne fra 499 danske it- og televirksomheder og kan her bringe listen med de 30 største arbejdspladser. Se antallet af ansatte og få et indblik i, hvor mange penge virksomhederne bruger på løn til medarbejderne.
CIO
Bare glem alle advarsler og alarmklokker: ”Din smartphone får ikke virus”
Sikkerhedsfirmaer advarer jævnligt om, at almindelige menneskers smartphone står pivåbne for virus og malware. Men ifølge en kendt sikkerhedsekspert findes det stort set ikke i Danmark.
Comon
Oversigt: Her er de bedste Android-smartphones der kan købes i Danmark
Det vrimler med spændende Android-smartphones på markedet. Vi har samlet en oversigt over de bedste Android-telefoner, du kan købe herhjemme netop nu.
Job & Karriere
Se listen: Disse it-folk bliver ansat på stedet - cheferne skriger efter helt bestemte it-kompetencer
Der er en markant mangel på it-folk med helt bestemte kompetencer samtidig med, at it-cheferne er i gang med at øge bemandingen i it-organisationerne. Se listen med de mest efterspurgte it-kompetencer netop nu.
White paper
Undersøgelse: Digital succes kræver opgør med statisk it-infrastruktur - men det er ikke uden problemer
Det digitale kapløb er i fuld sving i erhvervslivet, og mange toneangivende virksomheder søger den nødvendige fleksibilitet ved at skifte til tredieparts-datacentre og hybrid cloud-infrastruktur. Det viser en stor undersøgelse blandt 752 europæiske virksomheder, som analysehuset IDC har foretaget for Interxion. Men flere virksomheder har samtidig betydelige bekymringer i forhold til stabilitet og sikkerhed i sådan en grad, at det hæmmer de digitale ambitioner. Læs i dette whitepaper om undersøgelsens resultater og nogle af svarene på de udfordringer, digitale virksomheder aktuelt står over for. 24 sider på engelsk.