En lang række kommuner og virksomheder har ESDH-systemer, der ikke understøtter flere af de centrale krav i EU's nye persondataforordning, GDPR.
Står for elektronisk sags- og dokumenthåndtering. Systemerne indeholder eksempelvis følgende funktioner:ESDH
Det viser en undersøgelse, som er gennemført af Devoteam.
Konsulenthuset har spurgt danske ESDH-kunder om, hvad deres ESDH-system kan og ikke kan, når det gælder om at overholde kravene i GDPR, der træder i kraft til maj næste år.
GDPR kræver f.eks., at virksomheder skal kunne slette data om en kunde, hvis de bliver bedt om det. Det er dog blot 53 procent af respondenterne i Devoteams undersøgelse, der som minimum ‘i nogen grad’ har mulighed for at slette individuel data.
Også myndigheder skal slette data, hvis man beder om det - medmindre der er en legitim grund til at beholde data. Det betyder f.eks., at Skat kan beholde oplysninger om dig for altid.
Med hensyn til logning af, hvad persondata i systemet anvendes til, vurderer 49 procent i Devoteams undersøgelse, at ESDH-systemet giver udfordringer.
»Kunderne har ofte svært ved at anvende loggen, og ofte er den ikke direkte tilgængelig for kunderne. Det må siges at være ret kritisk, når det handler om parathed til persondataforordningen,« skriver Devoteam i rapporten.
»Det bliver et område, som leverandørerne skal tage fat på, så de og deres kunder ikke kommer i problemer, når forordningen træder i kraft.«
Danskere samler til huse som egern
Et andet krav, som GDPR introducerer, er, at virksomheder skal slette data, når der ikke længere er behov for dem. Den opgave bliver ifølge Devoteam-konsulent Frederik Helweg-Larsen en udfordring for mange.
»Det er ikke noget, vi i Danmark har tradition for. Vi er som egern, der samler nødder – man ved aldrig, hvornår man får brug for det. Nu er det et krav fra forordningen, at du skal slette data med vilje,« forklarede han på Devoteams ESDH-konference, der fandt sted i går i København.
Sletteopgaven er man nødt til at automatisere, understregede konsulenten:
»Det er muligt, at det kan gøres manuelt, men det bliver en ubærlig opgave.«
Også her har ESDH-systemerne mangler. Blot 16 procent svarer, at systemet understøtter automatisk sletning af data, mens omkring halvdelen enten ikke klar over svaret eller nægter at svare.
Devoteam vurderer i rapporten, at »kunderne ikke hidtil har haft behovet for at kunne slette automatisk og derfor aldrig har stillet krav til deres leverandører om, at deres ESDH-systemer skal kunne dette«.
Endelig rapporterer under en tredjedel af respondenterne, at ESDH-systemet giver rapporteringsmuligheder i relation til registrerede persondata. Også her bør leverandører videreudvikle deres systemer, vurderer Devoteam.
Kommer ikke i hus
ESDH-leverandører har over en kam stor fokus på GDPR, og hvad det kræver af den software, som de leverer. Men der er samtidig et stort spænd mellem, hvor langt de enkelte leverandører er i arbejdet, fremgår det af Devoteams rapport. Derudover er forventer kunderne generelt, at leverandørerne klarer ærterne.
»Vi har en forventning om, at alle leverandører leverer det, som er et krav,« bemærker en respondent i undersøgelsen.
Tilsammen betyder det, at flere offentlige kunder ikke kommer i hus inden deadline næste år:
»Sammenholder man de offentlige kunders høje bevidsthed om persondataforordningen og deres forventning til, hvad deres leverandører leverer til dem, samt Devoteams vurdering af ESDH-leverandørerne på området, så er der et forholdsvis stort ’hul’,« skriver Devoteam i rapporten.
»Det må derfor forventes, at ikke alle offentlige kunder er klar, når vi rammer maj måned 2018.«
Løfte i flok
Det er ikke en god GDPR-strategi at smide ansvaret over på leverandøren. I stedet bør kunder gå i dialog med deres leverandører, mener Frederik Helweg-Larsen.
»Lad være med at gøre det til en konflikt, hvor I bare stiller en masse krav. Det her er en udfordring, hvor man skal løfte i flok,« forklarer han.
»Kunder skal ikke sige: ‘Det skal efterleve GDPR’, for det er der ikke mange, der ved, hvad betyder,« understreger konsulenten.
I stedet skal man stille præcise krav til, hvad systemet skal kunne i forhold til sletteregler, kryptering, osv.
Generelt rapporterer langt størstedelen af respondenterne, at de er godt på vej med at implementere GDPR. De fleste er dog ikke kommet længere end den indledende analyse-fase, bemærker Frederik Helweg-Larsen
»Den 25. maj 2018 bliver for mange en milepæl for projektet og ikke en afslutning. Det er ikke realistisk, at man kan bevæge sig så meget på så kort tid.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
