Danske virksomheder er ikke klar til at beskytte persondata

Mange danske virksomheder er stadig slet ikke klar til at efterleve de nye lovkrav i EU’s persondataforordning (GDPR), når den træder i kraft den 25. maj. Det betyder, at de ikke er fuldt ud klar over, hvordan de skal behandle og beskytte borgernes personlige data på lovlig vis fremover. 

Hver tredje virksomhed er således ikke helt klar over, hvad kravene i forordningen kommer til at betyde for dem. Og knap hver anden virksomhed angiver, at persondataforordningen giver dem forretningsmæssige udfordringer. Det viser en it-barometermåling blandt knap 200 danske it-virksomheder, som er foretaget af IT-Branchen, it-­forum og BrainsBusiness.

“Vores helt friske barometerundersøgelse viser, at 32,35 procent ikke har helt styr på kravene, så det har ikke flyttet sig meget fra sommeren 2017 til marts 2018”, siger direktør i IT-Branchen Birgitte Hass.

IT-Branchen undersøgte samme område i midten af 2017, og her angav 45 procent af de adspurgte virksomheder, at de ikke havde helt styr på kravene i forordningen.

“Der er rigtig meget, man skal sætte sig ind i, og der er mange fortolkningsmuligheder af reglerne. De sidste vejledninger er desuden ikke kommet fra Christiansborg endnu, og det er ret skidt. Det viser, hvor meget usikkerhed der stadig er om dette”, siger Birgitte Hass.

Brugt for meget tid på diskussion af reglerne
At mange danske virksomheder stadig ikke har styr på de nye dataregler, lige før de træder i kraft, genkender Frederik Helweg-Larsen, som er expert director i it-konsulentvirksomheden Devoteam.

En undersøgelse fra Devoteam sidste år viste, at to tredjedele af 500 adspurgte virksomheder ikke havde en plan for, hvordan de skulle implementere forordningens krav. Og hver tredje var endnu ikke gået i gang med at lave en plan for at implementere forordningen. Og det er ifølge ham ikke blevet meget bedre siden.

En blanding af tilbagemeldinger fra kunder og erfaring fortæller, at kun mellem 30 og 50 procent af de danske virksomheder er parate til at leve op til kravene i GDPR, når den træder i kraft 25. maj.

“Pres og stress tager til, som vi kommer tættere på skæringsdatoen. Danske virksomheder har brugt alt for meget tid på at diskutere, hvad reglerne er, og hvordan man juridisk skal fortolke dem. Men det løser ingen konkrete dataproblemer”, siger Frederik Helweg-Larsen.

For mange er det urealistisk at være på plads den 25. maj
EU’s persondataforordning skal styrke og harmonisere beskyttelsen af EU-borgernes personoplysninger. Der er lagt op til, at den virksomhed, som ikke måtte efterleve kravene i den nye forordning, kan modtage bøder på op til fire procent af deres globale omsætning eller maks. 150 mio. kr. alt efter overtrædelsens karakter.

Men mange danske virksomheder er stadig langtfra klar til at leve op til kravene så kort før skæringsdatoen, fordi de har brugt for meget tid på jurafortolkning og få kræfter på, hvordan de konkret kan ændre adfærd og optimere deres dataprocesser, forklarer Frederik Helweg-Larsen.

“Derfor finder mange først meget sent ud af, at deres it-system fx ikke sletter data af sig selv, men at det er noget, man måske nu skal få sine ansatte til at bruge en time på at gøre manuelt hver dag. Og det er jo komplet meningsløst”, siger han.

Selvom det ifølge Devoteams direktør er helt urealistisk for mange danske virksomheder at være på plads til at leve op til kravene i forordningen den 25. maj, er det dog heller ikke nødvendigvis målet lige nu.

“Selvfølgelig skal man overholde loven. Juridisk set bliver man stillet til ansvar den 25. maj. Men vigtigst er, at man skal have gjort sig nogle ærlige og reelle overvejelser og søsat nogle indsatser, der betyder, at man agerer anderledes fremover, end man gjorde tidligere”, siger Frederik Helweg-Larsen.