Der er i dag præcis 87 dage, til EU’s ny persondataforordning, GDPR, træder i kraft.
En del virksomheder og organisationer har været i gang med arbejdet længe - nogle i flere år - og er rigtigt godt på vej, mens andre - faktisk størstedelen - kun har været i gang med arbejdet i nogle måneder.
De har rygende travlt lige nu. For skæringsdatoen, fredag 25. maj, står til troende.
Det er her, at de nye skrappe regler for håndtering, optagelse, anvendelse og sletning af brugernes persondata træder i kraft.
Det er kommet bag på mange, hvor stort arbejdet med at indrette sig efter de nye regler egentligt er.
Arbejdet har krævet involvering af en for mange helt ny treenighed bestående af jurister, projektfolk med forankring i den øverste ledelse samt it-folk med teknisk viden og overblik.
Disse tre enheder har været nødt til at finde fælles fodslag i arbejdet frem mod implementeringen. Og det har trukket tænder ud mange steder. For hvem bestemmer? Hvem har ansvaret? Hvem er vigtigst?
Hertil kommer håndteringen af den helt store udfordring: Medarbejderne.
Mange har opdaget, at uddannelsen af medarbejderne i selv de mest basale forhold angående GDPR (for eksempel: Hvad er persondata overhovedet?) er en tidskrævende opgave, som kræver vedholdenhed, systematik og konsekvens. Og uret tikker.
Analysehuset Forrester har fornylig vurderet, at kun omkring 25 procent af de europæiske virksomheder vil have opnået den nærmest sagnomspundne “compliance”, når GDPR træder i kraft. Det står særligt slemt til i mediebranchen og detailhandelen.
Selvom begge brancher er dybt afhængige af persondata, har Forrester her kun registreret 27 fuldt forberedte virksomheder. Og det ikke 27 procent - men 27 virksomheder.
Mere end hver 10. virksomhed er ifølge rapporten først for ganske nylig begyndt at overveje en GDPR-strategi.
Det skal nok gå
Heldigvis er der to forhold, som kan tale for, at det nok skal gå:
1) Følger din organisation i dag de gældende regler, er det en smal sag at opgradere til GDPR.
De gamle regler - samlet i den nuværende persondatalov - har været gældende i mange år, i det de blev indført i 2000. Persondataloven bygger på persondatadirektivet, der blev vedtaget helt tilbage i 1995.
De fleste organisationer har blæst højt og flot på de nuværende regler, da sanktionerne for ikke at følge dem har været nærmest umærkelige.
Men nogle organisationer gør det altså. Og de høster gevinsten nu.
2) Også Datatilsynet - der bliver GDPR-myndighed - hujer for tiden afsted for at finde sine GDPR-ben at stå på. Tilsynet har selv flere gange indikeret, at de første tilsyn efter 25. maj nok ikke kommer til at fokusere på, om GDPR er blevet udrullet 100 procent.
I stedet kommer de til at fokusere på, om arbejdet er godt i gang.
Det er en væsentlig forskel, der kan købe de langmodige lidt ekstra tid oven i de 91 dage, som er tilbage.
Det ændrer ikke på, at alle - og det er uden undtagelse - som minimum skal have en detaljeret køreplan, nogle aftaler, nogle strategier og nogle kontrakter klar 25. maj.
Er du klar?
Læs også:
Ny rapport afslører: Disse virksomheder er stadig langt fra klar til GDPR
EU: Kun to europæiske lande er klar til at indføre GDPR-reglerne
Mogens Nørgaard: Data-diktatorens fem stensikre forudsigelser om den nye EU-persondatalovgivning
