Konkret er 34 virksomheder blevet ramt, ligeligt fordelt mellem private og offentlige. Men hvor de offentlige virksomheder har fået bøder for i alt knap 3 mill. kr. med et gennemsnit på 172.000 pr. bøde, så har de private fået bøder for knap 35 mill. kr. med en gennemsnitlig bødestørrelse på omkring 2 mill. kr. – eller 650.000 kr. hvis de to største bøder på 10 og 15 mill. kr. udelukkes fra regnestykket. Så hvad skal du vær opmærksom på, hvis du vil undgå bøder?
Alle skal forholde sig til GDPR
GDPR handler om at have styr på andre menneskers data, og derfor er det vigtigt at forholde sig til de krav og forhold, GDPR-reglerne kræver. For GDPR omfatter alle virksomheder og organisationer i EU, og det handler ikke kun om data, it og jura – det handler også om sund fornuft, og om at have styr på sin forretning. For har du styr på GDPR, har du nok også styr på APV, CRM, ESG etc.
Derfor må det aldrig være frygten for bøder, der skal være motivationen for at arbejde med GDPR, mener Kim Jensen, CEO & Partner i Lexoforms. Ifølge ham er GDPR nemlig for mange en god anledning til at få ryddet op i både systemer og data, og samtidig få bedre overblik. Ifølge Kim Jensen viser erfaringen, at hvis man går ind i GDPR-arbejdet med positive briller, er der markante gevinster at hente. Disse omfatter muligheden for at få bedre overblik, øget effektivitet og samtidig være langt bedre forberedt på uforudsete situationer som fx ønsker om indsigt i og sletning af data. Men også risikoen for databrud mindskes, jo bedre styr man som virksomhed har på it-sikkerheden – både omkring persondata, men også generelt.
GDPR som konkurrenceparameter
Ifølge en tidligere undersøgelse foretaget af Capgemini* oplevede 81% af de virksomheder, der selv kategoriserede sig som GDPR-compliant, positive effekter på både omdømme og image.
Faktisk var der en direkte positiv sammenhæng mellem GDPR og kundetilfredshed, intern moral og indtjening på 13-22 procentpoint i forhold til de virksomheder, der ikke havde styr på GDPR. At have styr på GDPR er derfor for mange et konkurrenceparameter og et signal om, at virksomheden også på dette område er ansvarlig og troværdig. I bestræbelserne på at få styr på GDPR er der dog en række klassiske hindringer, som ifølge Kim Jensen går igen, når virksomhederne går i gang. Disse kan koges ned til 6 faldgruber, I som virksomhed skal være opmærksomme på, hvis I vil i mål med GDPR.
Hindring #1: Dårlige undskyldninger
”Vi har ingen følsomme personoplysninger”, ”vi har styr på vores databehandleraftaler” eller ”vi er på btb-markedet, så det er ikke relevant” er alle undskyldninger, vi har hørt mange gange. Men fakta er, at alle virksomheder med blot én ansat eller én kunde har indsamlet personoplysninger – og bruger virksomheden fx et lønsystem, er der pludselig også en databehandler involveret. Det er i denne sammenhæng ligegyldigt, om det er helt normale personoplysninger, der måske er offentligt tilgængelige, eller om der er tale om fortrolige eller følsomme informationer. Alle typer persondata er omfattet, og derfor er GDPR relevant for alle uanset størrelse, marked og produkt.
Hindring #2: GDPR-opgaven bliver syltet
For mange virksomheder virker GDPR både kompliceret og tidskrævende, og det gør det svært at forholde sig til. Med rigeligt at se til i forvejen, er det nærliggende at skubbe GDPR-opgaven lidt foran sig og gemme den, til der er bedre tid. Men det tidspunkt kommer sjældent… Derfor er det vigtigt at få taget fat på opgaven – og ikke mindst holde dokumentationen ved lige. Risikoen for at få en bøde eller komme på forsiden af Ekstra Bladet kan være en stærk motivator for at komme i gang, men det bør være ambitionen om at behandle andres data med ansvar og respekt, der er den vigtigste driver. Den gode nyhed er, at arbejdet med GDPR for mange faktisk er lettere, end de troede, når de først kommer i gang.
Hindring #3: Medarbejderne er ikke klædt på
Som virksomhed har I pligt til – og skal kunne dokumentere – at alle medarbejdere har fået en ordentlig instruktion i, hvordan de skal behandle de personoplysninger, som de får adgang til. Uanset om de har adgang til lukkede databaser, sidder med ansøgninger eller skal sende en mail.
For mange er det uvant at skulle forholde sig til persondata, og opstille procedurer for brug og håndtering heraf. Samtidig er det sandsynligvis den vigtigste enkeltopgave, da over 80% af de mere end 50.000 anmeldelser til Datatilsynet om sikkerhedsbrud siden den 25. maj 2018, handler om utilsigtede hændelser, hvilket reelt dækker over menneskelige fejl. Derfor er det afgørende, at alle relevante medarbejdere ved, hvad personoplysninger er, og hvordan de bedst behandler dem med ansvar og respekt.
Hindring #4: Privatlivspolitik
Ligesom dine kunder får en kvittering, når de betaler for en vare, skal de også have en kvittering, når de betaler med data. Privatlivspolitikken er dine kunders kvittering for, at du låner nogle af deres persondata – og hvad du gør med disse data. Derfor skal du forholde dig kritisk til, hvad der står i jeres privatlivspolitik.
Privatlivspolitikken skal oplyse, hvilke data I indsamler hvor, hvorfor, hvordan I behandler dem, og hvor længe I beholder dem. Derfor skal den være 100% individuelt tilpasset den eller de konkrete formål og behandlinger, I foretager – og derfor må den ikke blot være en kopi af andres politik. Endelig skal den altid være opdateret, synlig (fx på jeres website), letlæselig og transparent. Transparens betyder, at det bl.a. skal være tydeligt, hvilke kanaler, I bruger til indsamling af data, samt hvilke samarbejdspartnere (databehandlere), der får adgang til data (fx Danløn, Microsoft, Mailchimp eller Facebook).
Hindring #5: Sletning af data
Dataminimering handler om, at der kun må indsamles og behandles præcis de personoplysninger, der er hjemmel til. Need to have og ikke Nice to have. Desuden er det et krav, at persondata ikke må opbevares i længere tid end det, der er nødvendigt til de formål, hvortil de blev indsamlet og behandlet. Når der ikke længere er hjemmel, skal de basalt set slettes eller anonymiseres, så de ikke længere er tilgængelige. Har man som virksomhed ikke overblik over, hvilke personoplysninger der behandles, og hvor de opbevares, bliver sletning af personoplysninger pludselig en udfordring. Derfor er det vigtigt at få defineret en klar slettepolitik – og løbende føre kontrol med, at den efterleves.
Hindring #6: Artikel 30 fortegnelsen
Ifølge Persondataforordningen skal alle virksomheder på forlangende kunne fremvise en såkaldt Artikel 30 fortegnelse, der skal give et fyldestgørende overblik over de personoplysninger, som virksomheden opbevarer og behandler – og den skal altid være opdateret. Mange virksomheder har prøvet at lave Artikel 30 fortegnelsen i et regneark, men da det altid vil være en ”død fil”, har mange måttet sande, at den kan være både uoverskuelig og vanskelig at opdatere – ikke mindst over tid. Derfor halter mange virksomheder bagefter på dette punkt.
Tag stilling
GDPR behøver ikke at være en uoverkommelig opgave, men det kræver, at man som virksomhed forholder sig til, hvad man vil stå for, og hvad man ønsker at signalere til omverdenen. Dernæst gælder det om at få overblik over de nødvendige trin, og så komme i gang. For selvom I måske ikke kommer i mål lige med det samme, består en stor del af GDPR-opgaven i at forholde sig til, hvordan I som virksomhed ønsker at optræde overfor jeres stakeholders. Ikke mindst fordi håndteringen af persondata får stadig større bevågenhed fra ansatte, kunder, ansøgere, leverandører, samarbejdspartnere, pressen og ikke mindst potentielle kunder.
* Capgemini: Championing Data Protection and Privacy Report 2019
