Ny persondataforordning: Virksomheder har langt igen for at blive klar

Den nye persondataforordning i EU stiller større krav til virksomhederne, og derfor skal de i gang nu med at mobilisere sig, fortæller vicedirektør i KMD. En ny analyse viser dog, at der er langt igen.

Infosecurity. »I skal i gang nu.«

Det var hovedbudskabet i et oplæg, som vicedirektør i KMD Ole Haugaard Madsen holdt om EU's nye persondataforordning på Infosecurity-eventet i København i dag.

Hans og kollegaens slides slog ned på de væsentligste faktorer, som virksomheder skal til at få styr på.

En af dem er budgettet, men hver fjerde virksomhed forventer ikke, at de vil bruge flere ressourcer på informationssikkerhed som følge af den nye forordning, lød det i oplægget. En oplysning, der bygger på en nylig rundspørge foretaget af KMD.

Det er på trods af, at dokumentationskrav øges, ligesom virksomhederne skal analysere risici ved at behandle og indsamle data.

Krav om særlig databeskyttelsesrådgiver

»Allerede nu er I nødt til at mobilisere jer i jeres virksomheder,« understregede Ole Haugaard Madsen og spurgte efterfølgende ud i salen, hvor mange der har taget stilling til, om de skal have en databeskyttelsesrådgiver (DPO). Det er et krav i den nye forordning at have en DPO, hvis virksomheden varetager store mængder persondata.

Publikum havde fået røde og grønne sedler, og salen blev nu fyldt med farverne fordelt på 50/50.

KMD’s rundspørge viste dog et mere positivt resultat, hvor cirka tre ud af fire ved, om firmaet skal have en DPO.

»Det viser, hvor langt vi er kommet,« kommenterede Ole Haugaard Madsen.

Bøder på op til 20 millioner

Slidet med overskriften 'Either you pay now, or you pay later' talte for sig selv. For hvis ikke virksomheder får fod på reglerne, kan de få bøder på op til 20 millioner eller fire pct. af omsætningen.

»Der er nogle signifikante bødestørrelser på vej,« kommenterede Ole Haugaard Madsen.

For at få styr på, at data behandles rigtigt i KMD, fortalte han, at firmaet lærer deres medarbejdere om informationssikkerhed.

65 pct. af de adspurgte IT-sikkerhedsansvarlige i KMD’s undersøgelse forventer inden for de næste 12 måneder at investere i awareness-træning af medarbejdere inden for informationssikkerhed.

Den nye EU-forordning træder i kraft i 2018.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
John Foley

De små og mange af de mellemstore virksomheder har hverken ressourcer eller midler til at efterleve EU´s omfattende krav. Alligevel trues de med bøder og sanktioner, der med sikkerhed vil medføre kokurs. Utroligt - men sandt.
Bemærk i øvrigt det dobbeltmoralske i at offentlige myndigheder og institutioner ikke pålægges sanktioner eller bøder, til trods for at de beviseligt er de værste til at passe på befolkningens milliader af tvangslagrede personfølsomme oplysninger og metadata i deres varetægt. Talrige rapporter fra Stats- og rigsreviosrerne har gang på gang dokumenteret dette.

  • 1
  • 3
Jens Krabbe

De små og mange af de mellemstore virksomheder har hverken ressourcer eller midler til at efterleve EU´s omfattende krav. Alligevel trues de med bøder og sanktioner, der med sikkerhed vil medføre kokurs.

Hvis en virksomhed vil opbevare, behandle og tjene penge på mine personoplysninger, skal de også kunne gøre det forsvarligt, og det er uanset hvor mange ansatte eller hvor stor omsætning virksomheden har.
Hvis ikke der er råderum i en virksomhed til at gøre dette i fuld forsvarlighed, må virksomheden finde en anden måde at tjene penge på - det bliver ikke med mine personoplysninger.

Det er samme slags krav, der sættes til fabrikanter af biler, medicin og medicinsk udstyr, legetøj, mad, osv.: De er også ansvarlige for, at deres produkter lever op til minimumskrav om sikkerhed, og de skal også kunne dokumentere, at de lever op til det.

Bliver mine personoplysninger misbrugt, kommer det til at påvirke mit liv markant: Får jeg en madforgiftning, sluger min baby en dims, får jeg uvirksom medicin, eller accelererer min bil pludseligt, vil det også påvirke mit liv markant.

Derfor er ovenstående klagesang på vegne af små og mellemstore virksomheder irrelevant.

Der er meget få genveje til god sikkerhed for personoplysninger, så hvis man som virksomhed ikke kan gøre det forsvarligt, må man helt undlade at opbevare, behandle, eller tjene penge på dem.

Det gælder også offentlige instanser. Men det er måske ikke ideelt at uddele store bøder til offentlige instanser, for det bliver i sidste ende borgerne selv, der kommer til at betale for, at deres egne data bliver lækket eller misbrugt – eller så bliver konsekvensen at servicen forringes.

Derfor er det en udfordring at stille offentlige institutioner til ansvar for manglende omhu.
Man kunne overveje at holde de ansvarlige personer i de offentlige institutioner personligt ansvarlige, men så vil man nok hurtigt få svært ved at besætte de stillinger.

Man kunne outsource al offentlig behandling af personoplysninger, så en privat virksomhed kommer til at stå med ansvaret (hvilket bestemt ikke er en fremmed tanke), men ønsker vi egentlig det?

I det hele taget savnes der en god model for, hvordan offentlige institutioner og deres medarbejdere kan stilles til ansvar for uagtsomhed i deres virke. Nogen der har et bud?

  • 5
  • 0
John Foley

Gode bemærkninger og pointer Jens Krabbe. Især dine bemærkninger og opfordring:
"I det hele taget savnes der en god model for, hvordan offentlige institutioner og deres medarbejdere kan stilles til ansvar for uagtsomhed i deres virke. Nogen der har et bud?"
Og ingen tvivl om at SMV's også skal overholde krav til databeskyttelsesloven. De har bare ikke den samme hjælp og økonomiske støtte, som offentlige myndigheder og store virksomheder har. Store offentlige virksomheder støttes f.eks. indirekte af PET og FE og de offentlige myndigheder via skatten. De få kroner (1 mill), som DK-CERT havde at støtte borgerne og SMV's med er taget fra dem, mens millionerne ruller og tildeles rundhåndet til offentlige myndigheder, der ikke kan sanktioneres. Utroligt- men sandt!

  • 1
  • 0
Jakob Sørensen

Mon ikke man med fordel kunne indføre gratis rådgivning på området, til mindre virksomheder. Det ville naturligvis koste lidt, men det gør alle de sager der opstår også (det offentlige skal håndterer ting som retsager, bødeadministration o.s.v.). Derudover er der den åbenlyse gevinst, med forbedret persondatasikkerhed.

  • 0
  • 0
Log ind eller Opret konto for at kommentere