Artikel top billede

GDPR og certificering af compliance – vi skal i gang med arbejdet nu

Klumme: Der skal anvendes mange interne ressourcer, både tid og penge, som kunne være anvendt på resultatskabende aktiviteter, på et projekt, der blot er til for ”at overholde loven." Men der er altså ingen vej uden om. Vi skal i gang med GDPR.

Der holdes fortsat mange seminarer om EU’s persondataforordning (EU-GDPR), og der møder fortsat mange frem til disse seminarer.

Jeg deltager i mange af dem, og jeg undres stadig over nogle af de spørgsmål, der stilles på dette tidspunkt. Jeg har før i andre fora gjort mig til talsmand for at alle danske virksomheder skal igennem en øvelse omkring, hvordan deres virksomhed bliver compliant.

At der på dette tidspunkt stadig stilles spørgsmål som ”hvad menes der med persondata?”, ”gælder det for virksomheder?” osv. siger bare noget om, at der ligger meget arbejde foran os alle.

Enhver virksomhed, der har blot én ansat, som de laver lønregnskab for, er omfattet af kravene i GDPR og skal leve op til forordningens ordlyd. Punktum.

Har man ikke indset dette endnu, er man ved at være sent ude. Der skal nemlig præsteres en relativt stor mængde arbejde på de indre linier, før man er i mål.

Hvad er i øvrigt ”i mål”?

I min optik er man i mål, når man kan tåle et uanmeldt besøg af Datatilsynet (efter 25. maj 2018) uden væsentlige skrammer.

Ingen – eller i hvert fald kun ganske få virksomheder - vil komme 100 procent i mål og være i stand til mat leve op til ALLE forordningens krav, selv om flere har ambitioner om det.

Bidrager ikke på bundlinien

Sagen er, at der skal leveres meget arbejde af interne ressourcer og med hjælp fra en vis mængde eksterne ressourcer. Det er arbejde, som ikke bidrager med én krone på bundlinien.

Virksomheder, der allerede er kommet i gang, sætter oftest som mål: ”Hvordan bliver vi compliant med den mindst mulig indsats”?

Det til trods for, at når projektet er igangsat, ligger for eksempel en ISO27001-certificering snublende nær - plus en række andre gode ting.

Der skal anvendes mange interne ressourcer, både tid og penge, som kunne være anvendt på resultatskabende aktiviteter, på et projekt, der blot er til for ”at overholde loven”.

”Lad os få det overstået og komme videre med noget. der stemmer overens med vores forretningsmålsætninger,” må være over­skrif­ten for mange virksomheder lige nu.

Der mangler en markant motivation

Tag ikke fejl. Jeg synes, det er alt ære og ihærdighed værd, at der anvendes ressourcer på at sikre mine personlige data, når de er overladt til andre, og at det er mig og mine data, der er i fokus, når virksomheder, organisationer og offentlige myndigheder sætter nye systemer i drift.

Der mangler pt en faktor, der kan give virksomhederne sparket til at komme i gang – en markant motivation.

Kan projektet for eksempel anvendes til at sikre en virksomhed en konkurrencefordel i forhold til en konkurrent, vil det være en væsentlig motivation for at komme i gang.

En konkurrencefordel giver dog kun mening for det næste halve år. Bedre er det, hvis en compliance-certificering kan anvendes også efter 25. maj 2018.

Forordningens artikel 42 og 43 behandler og sætter rammer for en sådan certificering (”The European Data Protection Seal”), så det er ikke bare en fiks idé fra min side.

Justitsministeriet diskuterer i dens betænkning 1565 (på cirka 1.300 sider) om der skal certificeres systemer eller virksomheder. Jeg tror begge.

Man kan udstede en certificering på at eksempelvis NAV-version ”nyeste” umiddelbart kan certificeres som compliant, og således blandt andet leve op til kravene om både privacy by default and privacy by design, ligesom det kan åbne for sletning af data, når der ikke mere er behandlingshjemmel til rådighed.

Det kan ingen virksomheder dog bruge til noget, idet enhver virksomhed kan vælge at bruge systemet på en måde, som gør system-certificeringen værdiløs, ligesom man måske har fået udformet tilpasninger, som bryder med alle regler. En systemcertificering kan derfor kun anvendes til at lette en virksomheds certificering.

Certificering på at være compliant

Det virkelige certifikat skal være virksomhedens certifikat på, at man er compliant i implementeringen af den porteføjle af systemer og forretningsgange, der er gældende i virksomheden på certificeringstidspunktet, samt at man har procedurer i forretningen til at holde nye systemer og forretningsgange indenfor forordningens rammer.

Virksomheder, der arbejder med offentlige myndigheder oplever ofte i databehandleraftaler at skulle indhente ISAE erklæringer på persondatahåndtering og it-sikkerhed (ISAE3000 og ISAE3402), hvilket koster penge.

Der er ingen tvivl om at en sådan certificering koster penge og arbejde, men det meste af det arbejde udføres allerede igennem projekter, som mange virksomheder lige nu gennemgår eller om kort tid indleder. Ved at arbejde mod en certificering har projektet et kvantificerbart mål, og man får noget, der kan anvendes i praksis i forhandlinger med kunder og leverandører.

Nu er det op til Datatilsynet og Justitsministeriet at leve op til forordningens artikel 43 (certificerings instanser) og få udpeget og certificeret ”bureauer”, der kan certificere virksomheder.




Premium
Deloitte køber dansk SAP-specialist: "Opkøbet manifesterer vores ambitioner om at stå stærkt på SAP-agendaen"
Konsulentvirksomheden Deloitte køber den danske SAP-virksomhed Syncronic. Opkøbet er en del af en større strategi for Deloitte om at sætte sig massivt på det nordiske SAP-marked.
Computerworld
Bombe under Amazon og Wish-shopping: Millioner af danskere risikerer ekstra gebyr
Nye toldregler fjerner snart bagatelgrænse for handel udenfor EU – en skærpelse, der gør at over tre millioner danske nethandlende kan se frem til en ekstraregning.
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
Eva Berneke stopper som topchef i KMD og flytter til Paris: Her er KMD's nye topchef
Efter syv år på posten som topchef for KMD forlader Eva Berneke selskabet. Nu flytter hun med familien til Paris, hvor hun vil fortsætte sit bestyrelsesarbejde. KMD har allerede afløser på plads.
White paper
Så ofte rammer din sikkerhedsleverandør plet – eller helt ved siden af
Denne uafhængige evaluering fra MITRE ATT&CK giver et billede af styrker og svagheder hos førende udbydere af cybersikkerhedsydelser. Rapporten vurderer bl.a. reaktion og træfsikkerhed på simulerede angreb og af, hvor hurtigt der slås alarm.