En rapport fra det franske datatilsyn, CNIL, har sat kroner og ører på, hvad databeskyttelse faktisk betyder i praksis – og konklusionen er klar: Det kan spare virksomheder for store summer at leve op til GDPR-kravene.
Faktisk viser analysen, at bare én regel – nemlig pligten til at informere kunder og myndigheder om databrud – har forhindret identitetstyveri og cyberkriminalitet i et omfang, der har sparet virksomheder og forbrugere i EU for mellem 585 millioner og 1,4 milliarder euro. Og det mest opsigtsvækkende er, at mere end 80% af den økonomiske gevinst kommer virksomhederne selv til gode.
Mindre kriminalitet, større tillid – og færre udgifter
Det er især identitetstyveri, der rammer, når persondata lækkes. Misbrug af kreditkortoplysninger, online shopping-konti og adgang til bankinformationer koster både kunder og virksomheder dyrt. Når databrud ikke opdages eller ikke kommunikeres, vokser problemet. GDPR har vendt den udvikling: Pligten til at informere kunder ved alvorlige brud har gjort det muligt for dem at handle hurtigt – fx ved at spærre kort eller ændre passwords – og dermed mindske skaden markant.
I Frankrig alene anslås det, at GDPR-reglerne har sparet virksomheder og borgere for op mod 219 millioner euro i direkte og indirekte tab. Og det er kun toppen af isbjerget. Analysen kigger nemlig ikke engang på andre GDPR-krav som fx dataminimering og kryptering, som også reducerer risiko og omkostninger ved cyberangreb.
Cybersikkerhed er ikke bare en forsikring – det er en konkurrencefordel
Mange mindre virksomheder tænker måske, at de ikke er oplagte mål for hackere. Men netop SMV’er er ofte sårbare og kan fungere som bagdør til større virksomheder i kæden. Det gør dem attraktive mål for såkaldte “supply chain attacks”.
Her gør GDPR en forskel. Reglerne har styrket hele forsyningskæden ved at stille sikkerhedskrav – ikke bare til databehandlere, men også til underleverandører. Det betyder, at virksomheder, der tager cybersikkerhed alvorligt, bliver mere attraktive som samarbejdspartnere. Investeringer i sikkerhed reducerer ikke kun risikoen for angreb – de styrker også forhandlingspositionen og virksomhedens omdømme.
Samtidig viser data, at markedsværdien af virksomheder falder, når de rammes af databrud – især hvis sagen kommer i medierne. Det skaber et klart incitament til at forebygge i stedet for at reparere.
GDPR hjælper virksomheder med at tage ansvar – og spare penge
Økonomisk set er problemet med cybersikkerhed, at virksomheder sjældent bærer hele regningen, når noget går galt. Skaderne spreder sig til kunder, leverandører og andre aktører i økosystemet – og derfor investerer mange for lidt i forebyggelse. GDPR tvinger virksomheder til at tage større ansvar og investere mere, og det viser sig at være en økonomisk gevinst – også for dem selv.
Ifølge økonomiske beregninger bør virksomheder typisk investere 20-66% mere i cybersikkerhed, end de gør i dag. Den investering betaler sig selv hjem gennem færre angreb, lavere tab og større tillid fra kunder og samarbejdspartnere.
Enkle tiltag som kryptering, dataminimering og automatisk sletning af gamle oplysninger er billige at implementere, og mindsker skaderne ved et eventuelt brud betydeligt. Faktisk viser en rapport fra IBM, at kryptering alene kan reducere omkostningerne ved et databrud med 5% – en effektiv og overskuelig forbedring for mange SMV’er.
Desuden kan det give god mening at udpege en ansvarlig for datasikkerhed, og det kan sagtens være en ekstern rådgiver eller DPO, ligesom hyppige backup-procedurer og test af gendannelsesplaner kan bidrage til øget sikkerhed.
Tillid som fremtidens valuta
Måske vigtigst af alt: GDPR styrker tilliden. I takt med at stadig mere forretning foregår digitalt, bliver tillid til datahåndtering en konkurrenceparameter. Hvis dine kunder oplever, at du passer på deres oplysninger og handler ansvarligt, bliver du ikke bare en sikker havn – du bliver også et førstevalg.
Det handler ikke kun om at undgå bøder – det handler om at bygge en bæredygtig og troværdig forretning, som både kunder og partnere har lyst til at handle med. Så næste gang du sukker over arbejdet med GDPR, så husk: Det er ikke bare regler – det er god forretning.
