Ingen grund til GDPR-panik

Af Martin Hallengreen, Quality & Compliance Manager, Managed Services, NTT DATA Business Solutions 

EU’s persondataforordning – General Data Protection Regulation (GDPR) – har givet lidt ekstra sved på panden hos mange virksomheder. Skræmmekampagnerne om forordningen har da også stået i kø og ofte overdøvet det gode budskab om, at dine og mine persondata fremadrettet bliver meget bedre beskyttet i et stadig mere digitalt virksomhedslandskab.

GDPR er ikke bragt til verden for at efterlade jer i økonomisk ruin

Skræmmekampagnerne har særligt haft fokus på de massive bøder, som vil bringe virksomheder i sænk på en formiddag, hvis de ikke overholder de nye regler om håndtering og opbevaring af kunders og medarbejderes persondata. Det er også alvorligt nok. Men persondataforordningen er ikke bragt til verden for at efterlade virksomheder i økonomisk ruin. Et vigtigt formål med den er, at virksomheder skaber struktur på den måde data flyder ind og ud af virksomheden, så der skabes den nødvendige åbenhed om persondatas indsamling, anvendelse og opbevarelse.

Persondataforordningen involverer hele organisationen, kræver nye processer og for mange virksomheder også nye it-systemer. Og snart er løbet kørt. Har man som større virksomhed ikke på nuværende tidspunkt taget de nødvendige forholdsregler i forhold til persondataforordningen, bliver man sandsynligvis ikke klar inden 25. maj.

Hvad er status blandt danske virksomheder, og hvad gør man, hvis man er langt fra mål? Den seneste medlemsanalyse gennemført af Dansk Erhverv giver et fingerpeg om, at danske virksomheder halter bagefter. Kun 41% af respondenterne forventede at være klar inden 25. maj. 57% af virksomhederne var i gang med at blive klar til forordningen, enten ved at få mere information eller indføre konkrete tiltag. 15% mente, at reglerne ikke var relevante for dem. Andre 15% tilkendegav, at de ikke kendte forordningen.

Tør sveden af panden og træk vejret roligt

Vores råd til dig er entydigt: Tør sveden af panden og træk vejret roligt. Vi har gjort en stor del af forarbejdet for dig, og har i februar fået den første ISAE 3000-revisorerklæring, som PwC har udstedt i Danmark (læs den her). Det betyder, at vi lever op til kravene om korrekt håndtering af alle persondata og, at vi kan garantere vores kunder, at alle procedurer og rutiner i forhold til at beskytte persondata bliver fulgt. Lige fra persondata kommer ind i systemerne, til de slettes igen. Dette gælder for Hosting og Managed Services, som NTT DATA Business Solutions håndterer på vegne af kunderne.

Vi har arbejdet intenst og målrettet på at komme i mål i god tid, før personforordningen træder i kraft. Og det er lykkedes. Vores fremgangsmåde har solidt forankret GDPR-programmet i vores organisation, og vi har ifølge PWC skabt en best practice, som de anbefaler til andre virksomheder. Vi har skabt en rød tråd gennem hele processen – baseret på vores eksisterende procedurer, lige fra den overordnede styring og helt ud til teknikerne, som arbejder med kundernes systemer til daglig. Det har sikret, at GDPR ikke bliver en ekstra administrativ byrde for de enkelte medarbejdere.

Revisorerklæringen cementerer, at vores kunder er i trygge hænder allerede nu. Vi deler gerne ud af vores erfaringer med at etablere et GDPR-program, der passer til virksomhedens overordnede politik eller som en integreret del af virksomhedens governance, risk & compliance system. Lige fra udformning af etiske retningslinjer til konkret organisatorisk og teknisk forankring. Så tænk forordringens krav ind i virksomhedens øvrige it- og informationsstrategi, så manglende persondatasikkerhed ikke bliver en hæmsko for at drive og udvikle din forretning.