EU’s nye persondata-forordning. Skal? Skal ikke? SKAL!

Mange virksomheder er usikre på, om de skal gå i gang med implementering af kravene i den nye persondataforordning, som EU vedtog i maj 2016, og som skal være implementeret af store og små virksomheder inden maj 2018. Usikkerheden skyldes til dels, at der ikke er kommet en klar udmelding fra staten om, hvordan kravene skal fortolkes. Desuden er der tale om et omfattende og krævende projekt med en del arbejde og store investeringer til følge. Det kan dog godt betale sig at gå i gang nu, for der er meget, som skal gøres.

Hovedformålet med den nye forordning er at styrke beskyttelsen af persondata – og derigennem skabe større tillid til den digitale verden, som vi lever og driver forretning i. Vigtigheden af beskyttelsen af persondata blev endnu engang aktuel, da Statens Serum Institut i juli sendte mere end 5 mio. stykker følsomme personoplysninger med posten på to ukrypterede cd’er, som havnede hos den forkerte modtager. En fejl, som i fremtiden kan koste virksomheder op til 20 mio. euro i bøde.

Er din virksomhed omfattet?

Svaret er ja. Stort set alle virksomheder behandler personoplysninger, jf. den nye forordning, og derfor skal også din virksomhed iagttage reglerne i den nye forordning. Eksempler på persondata er HR-oplysninger om ansatte, kundedatabaser, oplysninger om kontaktpersoner hos leverandører og samarbejdspartnere samt digitale registreringer, såsom IP-adresser og MAC-adresser.

På den baggrund kan din virksomhed med fordel igangsætte et compliance-projekt, der sikrer, at I lever op til kravene i den nye forordning. Det kan være en stor opgave, der ikke kan løses fra den ene dag til den anden. Det er derfor PwC’s anbefaling, at I bør påbegynde arbejdet allerede nu, så I ikke senere bliver overraskede over mængden af arbejde og de ressourcer, der skal lægges i projektet. Og måske viser det sig endda, at det ikke var helt så omfattende, som først antaget, så I stille og roligt kan komme i mål, inden forordningen træder i kraft den 25. maj 2018.

Vi foreslår, at projektet opdeles i fire faser, der tidsmæssigt fordeles frem mod maj 2018. Projektet bør have fire hovedspor, der løber parallelt og fokuserer på kravene til styring, forandring, forretningsgange og it-systemer.

Gode råd:

  • Gå i gang nu – der er ikke så lang tid til maj 2018.
  • Start med de vigtigste forretningsområder.
  • Find og anvend praktiske og operationelle løsninger.
  • Find en god rådgiver. Dette er ikke kun en juridisk vurderingsopgave. Det er et projekt, der kan påvirke hele din forretning. Der er derfor behov for mange forskellige kompetencer, og ekstern assistance kan spare jer både tid og penge. PwC har kompetencen og erfaringen, og vi er klar til at hjælpe jer.

Vi giver her et forslag til de aktiviteter, som I bør igangsætte i fase 1 og afslutte inden for de næste seks måneder som en del af det samlede projekt:

Styringsmodel

Forordningen stiller en række krav til ledelsens involvering, og involveringen skal kunne dokumenteres. Ledelsesinvolveringen allerede ved opstarten er således ikke kun praktisk i relation til at vise ledelsesopbakning over for medarbejderne, men også et klart krav i form af dokumenteret godkendelse af bl.a.:

  • Visionen/strategien for implementering af forordningen.
  • Databeskyttelsespolitikken.
  • Risikoanalyse.
  • Konsekvensanalyse vedrørende databeskyttelse (som skal vurderes ud fra konsekvensen for den person, hvis persondata bliver behandlet).

Opstarten af projektet bør omfatte en identifikation af den øvrige lovgivning, som din virksomhed er underlagt, da forordningen ikke nødvendigvis har forrang for disse. Desuden vil en risiko- og konsekvensvurdering af de mest kritiske forretningsprocesser skabe grundlag for at prioritere indsatsen og udarbejde et projektgrundlag, som sikrer en indsats, der står mål med den tilgang til databeskyttelse, som passer til virksomheden og risikovilligheden. På dette tidspunkt kan det være en fordel at overveje, hvordan den ledelsesmæssige kontrol og opfølgning på overholdelsen skal dokumenteres. Det kan her måske være relevant at ansætte/udpege en databeskyttelsesansvarlig.

Forandringsledelse

Et væsentligt element i forbindelse med implementeringen og den løbende overholdelse af forordningens krav bliver evnen til at få disse nye krav forankret i organisationen. I bør derfor vurdere, hvordan og hvornår der er behov for kompetenceløft af medarbejderne, så de kender til kravene og kan efterleve dem. Forandringer handler dog ikke kun om kompetencer, men også om adfærd og kultur. Derfor bør der på dette tidspunkt udarbejdes en strategi og plan for kompetenceudvikling, adfærdsbearbejdning og kulturpåvirkning, der sikrer, at medarbejderne vil overholde de ændrede forretningsgange og nye krav.

Nøglepersoner i projektet bør sendes på kursus i forordningens krav, så de har en fuldstændig forståelse af disse.

Forretningsgange

Ændring af forretningsgange i forbindelse med registrering, behandling og opbevaring af persondata er et af de mest omfattende områder, når det gælder overholdelse af kravene i forordningen.

Din virksomhed bør således starte med at få et overblik over, hvor I behandler og opbevarer persondata. I bør identificere de forretningsgange, hvor persondata behandles, sikre at adgangsrettigheder til data er korrekte og vurdere, om I har iagttaget den påkrævede oplysningspligt over for de personer, der er registreret oplysninger om. Og hvis jeres behandling kræver samtykke, bør I sikre, at I har indhentet dette.

Vores erfaring viser, at anvendelsen af eksterne samarbejdspartnere, cloud-løsninger og leverandører ikke altid er så veldokumenteret og styret. Fremover skal der være styr på, hvem der er datadataansvarlig, og hvem der er databehandler. De juridiske definitioner kan findes i forordningen, men som udgangspunkt behandler en databehandler kun data på vegne af den dataansvarlige. Det vil sige, at en databehandler behandler data under instruks. Sondringen mellem dataansvarlig og databehandler er vigtig, da der stilles krav om, at den dataansvarlige indgår databehandleraftaler med alle dennes databehandlere. Bemærk, at virksomheder kan være dataansvarlige i nogle situationer og databehandlere i andre.

Vores erfaring viser desuden, at virksomheder kan spare både tid og penge ved at planlægge og udvælge de vigtigste forretningsgange som pilotområder for en gennemgang.

It-systemer

En bærende del af kravene i den nye forordning er at sikre et tilstrækkeligt beskyttelsesniveau af persondata. Virksomheder, der har arbejdet med informationssikkerhed efter fx ISO27001, er godt hjulpet. Det er dog vores erfaring, at de fleste virksomheder ikke helt har implementeret tilstrækkelige organisatoriske og tekniske sikkerhedstiltag.

Vores anbefaling er, at din virksomhed får foretaget et sikkerhedstjek af det eksisterende sikkerhedsniveau. Dette tjek skal omfatte styring af sikkerhedstiltag, sikkerhedsprocedurer og tekniske tiltag, som fx adgangskontrol, kryptering og logning. Igen er der krav om, at tiltagene er dokumenterede.

For at sikre, at virksomheden kan leve op til de specifikke krav, der har betydning for it-systemerne, bør I vurdere behovet for investering i itløsninger til adgangsstyring, kryptering af data og logning af dataanvendelsen. Især logning kan være en udfordring for mange virksomheder, men det er nødvendigt, hvis man skal kunne dokumentere eventuelle sikkerhedsbrister eller mistanke herom, inden for de krævede 72 timer.

Anvendelsen af ny teknologi kan også være en fordel, fx til identifikation af de steder i systemerne, hvor I har lagret persondata, ligesom I kan få systemer, der kan hjælpe med at mindske risikoen for, at data lækkes til tredjepart.

En vurdering af og beslutning om anvendelse af teknologi er nødvendig i denne fase, dels fordi implementering tager tid, dels fordi investeringerne kan være store.

Kontakt

Jørgen Sørensen
Partner, PwC
Tlf: +45 3945 3554
Email

Følg PwC

LinkedIn
Twitter
Facebook
Youtube