Gør persondatabeskyttelse til en konkurrencefordel

Med vedtagelsen af den nye EU persondataforordning er persondatabeskyttelse - trods sin umiddelbart manglende sexappeal – blevet et af de de helt hotte emner, især blandt advokater og sikkerhedsspecialister.

Den nye persondataforordning erstatter den nuværende danske Persondatalov fra 2000, som bygger på et EU-direktiv fra 1995.

Med forordningen kan europæiske statsborgere se frem til bedre beskyttelse af deres personlige oplysninger, mens organisationer, offentlige som private, må berede sig på skærpede krav til beskyttelse af netop disse oplysninger.

Udover de kommende skærpede lovmæssige krav, hvorfor så bekymre sig om beskyttelse af personlige oplysninger?

Til trods for at mange virksomheder, overraskende nok, ikke har persondatabeskyttelse øverst på deres agenda, er hacking og databrud blevet en del af hverdagen for mange, og flere store databrud har givet uvedkommende adgang til personlige oplysninger om virksomheders kunder eller medarbejdere.

Det stadigt voksende cyberkriminelle miljø og de medfølgende trusler har bevirket, at virksomhederne har fået mere fokus databeskyttelse, men hovedpinen ligger typisk hos CIO’en eller den juridiske afdeling, som får til opgave at sørge for, at lovgivningen overholdes, og at virksomheden er sikret tilstrækkeligt mod et hackerangreb.

Man kan jo spørge sig selv, om ansvaret ikke ligger det forkerte sted? Burde det i virkeligheden ikke ligge hos topledelsen og bestyrelsen? For hvis der er noget persondatabeskyttelse og et stærkt sikkerhedsniveau kræver, så er det ressourcer, i form af både tid og penge.

Hvad skal der så til for at få CEO’ens og bestyrelsens opmærksomhed?

Hvis persondata ikke er så sexet, så er øget konkurrenceevne og flere kunder det til gengæld. Så det handler om at gøre persondatabeskyttelse til en konkurrencefordel for ens forretning. Tag fx CSR, som for nogle år siden var det helt hotte emne for virksomhederne.

I dag rapporterer de fleste virksomheder om samfundsansvar som led i deres årsrapportering, og rigtig mange af de, som har succes med deres CSR-arbejde, forstår samtidig at bruge CSR som en konkurrencefordel ved at brande sig som samfundsansvarlige og gøre CSR-initiativer profitable for virksomheden og derved skille sig ud fra mængden.

Gør det samme med persondatabeskyttelse. Gør det til en konkurrencefordel.

Forudsætningerne er der: I dag arbejder kunder og medarbejdere i en digitaliseret verden, og oplysninger om os som forbrugere, kunder, medarbejdere og privatpersoner flyver rundt i det digitale rum, så konkrete tiltag til beskyttelse af vores personlige oplysninger bliver kun mere og mere relevant.

Og der skal kun ét hackerangreb til, hvor virksomhedens kundedatabase lækkes, så kan udfordringerne let blive uoverskuelige.

Tænk bare på, da datingsiden AshleyMadison.com i 2015 blev hacket, og de ansvarlige bag angrebet opnåede adgang til sidens 37 millioner brugerprofiler.

Eller da en opdateringsfejl hos IMB, som driver Rejsekortet, bevirkede, at 754 Rejsekort-kunder fik delt deres navn, adresse og rejsekortnummer eller faktureringsoplysninger med andre kunder.

Så business casen for persondatabeskyttelse er egentlig ret simpel. Det handler om tillid og omkostninger, når virksomheden mister tillid fra kunder og medarbejdere.

Måske er persondatabeskyttelse ikke den mest sexede størrelse, men den er altafgørende for, om du fortsat har en forretning i morgen, og derfor bør persondatabeskyttelse være første prioritet hos topledelsen i enhver virksomhed.

Så det gode råd: Når du som virksomhedsleder skal overveje, hvordan du ønsker at beskytte jeres medarbejder- og kundedata, så er det simpelt:

Beskyt de følsomme data, som var det oplysninger om dig selv. Brand din virksomhed som en organisation, der tager dine medarbejderes og kunders privatliv alvorligt. Tillid skaber kunder, og kunder skaber forretning.

Så enkelt er det.

Emilie Norsks billede
Emilie Norsk er Manager hos KPMG, hvor hun har ansvaret for Privacy og Information Protection. Hun specialiserer sig inden for operationel persondatabeskyttelse og er en af Danmarks førende eksperter inden for privacy.

Kommentarer (7)

Michael Jensen

Nice indlæg. Tak for at sidestille CSR og persondata lidt.

Jeg har flere gange brokket lidt over den typiske CSR-tilgang. F.eks. for et softwareudviklingshus, hvor der flot tages stilling i en CSR-politik, til at de ikke vil anvende børnearbejde, og at giftige kemikalier bortskaffes pænt. Well HELLO captain obvious! Jeg lover også at vores nye iphone app ikke er radioaktiv ud over grænseværdierne. ...

Det ville være rigtig fedt hvis CSR og persondatabeskyttelse kunne flettes endnu mere sammen, så det blev en helt naturlig del;
- Vi forurener ikke, tjek.
- Vi beskytter kundernes data, tjek.
- Vi bruger grøn IT, tjek. (Ok, grøn IT er nok ikke hot længere, som det var for et par år siden, men alligevel..)

Nikolaj Brinch Jørgensen

Det ville være en rigtig god start hvis diverse store multinationale virksomheder startede deres CSR med at betale skat i de lande de tjener deres penge. Se det ville være rigtig CSR....

Morten Jensen

... men jeg automat-reagerer lidt når jeg læser om persondatabeskyttelse som en konkurrenceparameter.
Måske misforstår jeg indlægget, men jeg frygter at det samme vil ske, som der er ved at ske for flytrafik, hvor sikkerhed er blevet en konkurrenceparameter med det resultat at sikkerheden falder - https://en.wikipedia.org/wiki/Race_to_the_bottom osv.

Hvis jeg var kongen af det hele, så var persondatabeskyttelse ikke en konkurrenceparameter, men et ufravigeligt krav...

Emilie Norsk Blogger

Hej Morten,

Tak for din kommentar.

Det gode ved persondatabeskyttelse er jo netop at det allerede er et ufravigeligt krav i form af den danske Persondatalov og den kommende EU Persondataforordning, som vil erstatte Persondataloven.

Sikkerhed og persondatabeskyttelse har det i mange virksomheder med at blive forstået som "irriterende krav" som ikke nødvendigvis har noget med forretningen at gøre. Mit forslag er, at i stedet for kun at se det som krav, så kan man som virksomhed bruge det aktivt. Beskytter man sine data ordentligt, overholder man ikke bare loven, man kan også brande sig på dette.

Morten Jensen

Beskytter man sine data ordentligt, overholder man ikke bare loven, man kan også brande sig på dette.

Og det er nok dér kæden hopper af for mig.
Ville man f.eks. kunne brande sig på at man ikke stjæler fra sine kunder?

Normalt ville jeg sige at sådan noget er en "hygiejne-faktor", dvs. noget der ikke trækker op hvis det er til stede, men trækker ned hvis det mangler - som f.eks. kropslig hygiejne hos en kollega.

Log ind eller opret en konto for at skrive kommentarer