Gemt

Databeskyttelsen går den rigtige vej

EU’s persondataforordning er ikke en bremse på virksomhedernes forretningsudvikling. Tværtimod, lød det på Dansk Erhvervs og International Association of Privacy Professionals event om ”GDPR i et globalt perspektiv”.

Nyhed

Af Kristian Kongensgaard

Mange - og især små og mellemstore - virksomheder har betragtet EU’s persondataforordning GDPR som en klods om benet. Men det har de ingen grund til - tværtimod vil arbejdet med databeskyttelse forstærke virksomhedernes muligheder for vækst og udvikling, mener canadieren Trevor Hughes. Han er CEO og præsident for IAPP, der er den internationale sammenslutning af personer, der professionelt arbejder med databeskyttelse. Trevor Hughes sammenligner persondata med biler.

”De første biler, der blev bygget, havde ingen bremser. Men det fik de så af sikkerhedsårsager efterhånden. Det betød imidlertid ikke, at de kom til at køre langsommere. Tværtimod kunne man nu sætte farten op, fordi bilerne netop blev i stand til at bremse. Det tilsvarende vil ske for virksomhederne i kraft af reglerne for persondata. Virksomhederne har fået et nyt redskab til at sætte fart på udviklingen,” sagde han på en event i København, arrangeret af Dansk Erhverv i samarbejde med IAPP - International Association of Privacy Professionals danske afdeling.

Canadieren Trevor Hughes var som CEO og præsident for IAPP, der er den internationale sammenslutning af personer, der professionelt arbejder med databeskyttelse, i København for at møde DPOs - Data Profession Officers - fra Dansk Erhvervs medlemsvirksomheder. (Foto: Martin Jørgensen).

DPO’erne vil få rigeligt at bestille
Arrangementet satte fokus på, hvordan behandlingen af personoplysninger påvirkes globalt, og hvad der kan forventes i den nærmeste fremtid. Desuden var der fokus på EU-retlige tiltag i forhold til persondataretten.

Ifølge Trevor Hughes er persondatalovgivning ikke kun et EU-anliggende. Næsten overalt i verden er beskyttelse af personoplysninger på dagsordenen:

”For eksempel forventer jeg, at USA i løbet af de kommende fem år får en føderal lov herom. DPO’s - Data Protection Officers - vil få rigeligt at bestille de kommende år. Alene i vores organisation - IAPP - er medlemstallet fordoblet til 50.000 i løbet af de seneste 2,5 år. Det interessante er, at andelen af jurister blandt vores DPO-medlemmer har været konstant faldende, mens andelen af medlemmer med ansvar for eksempelvis finans, regnskab, marketing, HR og IT er vokset. Det er udtryk for, at databeskyttelse har betydning for alle funktioner i en virksomhed,” påpeger han.

GDPR gør data både sikrere, bedre og mere brugbare for virksomheder
Spørgsmålet er, om databeskyttelse i sig selv også giver virksomhederne nye forretningsmæssige muligheder:

”Både ja og nej. På den ene side begrænser de restriktive regler naturligvis visse muligheder. På den anden side bidrager GDPR til at give virksomhederne et bedre overblik over deres data, og at de er gået fra manuel til digital håndtering af data. Det gør data både sikrere, bedre og mere brugbare for virksomheder,” siger Trevor Hughes.

Det handler om at beskytte vores tillid
Som nævnt kan især små og mellemstore virksomheder føle sig usikre over for GDPR-reglerne. Ikke kun i forhold til, hvordan de selv håndterer data om andre, men også i forhold til hvordan deres data behandles af andre:

”Når jeg kommer ind på et hotelværelse og skal tænde lyset, kan det ikke nytte, at jeg bekymrer mig om, hvorvidt den elektriske installation er korrekt udført. Jeg bliver nødt til at stole på, at installationen er i orden. Jeg er nødt til at have tillid. Det er i bund og grund det, GDPR handler om: At beskytte vores tillid. Det er også derfor, at hovedparten af vores DPO-medlemmer i IAPP har tilkendegivet i en undersøgelse, at de gør sig etiske overvejelser hver dag,” understreger Trevor Hughes.

Bøderne kommer ikke til at lukke virksomheder
Foruden Trevor Hughes optrådte kontorchef Peter Fogh Knudsen, Datatilsynet, på GDPR-eventen. Han pointerede blandt andet, at myndighederne ikke var stødt på nær så mange grænseoverskridende overtrædelser af persondatalovgivningen som ventet. Til gengæld kunne sagerne være ganske udfordrende, fordi GDPR-reglerne administreres forskelligt - men i overensstemmelse med forordningen - EU-landene imellem. I nogle lande er det kun personer, der kan klage, mens det i andre lande også er muligt for eksempelvis organisationer.

Peter Fogh Knudsen lagde vægt på, at virksomhederne naturligvis skal overholde GDPR-reglerne. Men også at frygten for skyhøje bøder ikke må tage overhånd:

”Bøderne kommer ikke til at lukke virksomheder. Størrelsen vil altid stå i et rimeligt forhold til overtrædelsen og virksomhedens størrelse. Mindre overtrædelser kan ofte klares med en påtale og vejledning. I Danmark har vi foreløbig kun sendt to sager videre til politiet,” fortalte han.

Hvad vil der ske efter brexit?
Mange danske virksomheder med relationer til Storbritannien tæller nu på knapper for, hvordan de skal håndtere brexit. Hertil sagde Peter Fogh Knudsen:

”Foreløbig gælder GDPR-reglerne resten af 2020 i Storbritannien. Reglerne kan forlænges et eller to år, og det skal briterne beslutte senest 1. juli i år. Det bliver interessant at se, hvad de nationalt vil gøre. Under alle omstændigheder vil jeg anbefale danske virksomheder allerede nu at overveje mulige forholdsregler.”

En af de cirka 70 deltagere i GDPR-eventen var Compliance Manager Sara Landgreen, Aldi Danmark:

”Det er altid positivt at høre Datatilsynet live. Der var flere nye vinkler, idet Peter Fogh Knudsen netop var kommet tilbage fra møde i Det Europæiske Dataråd. Desuden gav Trevor Hughes en god peptalk ved at give et godt indblik i det globale arbejde med databeskyttelse samt spændende bud på, hvad personer med mit arbejde har i vente i fremtiden. Desuden fik jeg mødt andre, der arbejder med samme felt, og udbygget mit netværk.”

Frustration og grå hår hos SMV’er
Chefkonsulent Martin Jørgensen, Dansk Erhverv, rådgiver medlemsvirksomheder om persondatabeskyttelsesreglerne. Han har indtryk af, at det især for de små og mellemstore virksomheder fortsat giver anledning til frustration og grå hår at efterleve reglerne. Men det går den rigtige vej.

”Man kan ikke komme udenom, at GDPR har medført væsentlige administrative byrder for virksomhederne, idet kravene til dokumentation for korrekt efterlevelse er omfattende. Men som det blev pointeret på arrangementet, så bidrager det hårde arbejde også til forretningen,” siger Martin Jørgensen.