Virksomheder har blæst på databeskyttelse i 18 år, men nu koster det

På årets første sommerdag i april skinner solen ned i en baggårdsoase på Christianshavn godt gemt fra hektisk storbytrafik. Op ad en jerntrappe til førstesalen på et istandsat murstenshus ligger den danske it-vækstvirksomhed Peakon. Døren står vidtåben, og det summer fra folk bag computere spredt rundt i det åbne, lyse kontorlandskab. 

På anden sal i køkkenet sidder 10 personer samlet rundt om et langt spisebord. Her går snakken livligt i videosamtale på engelsk med personerne i et fladskærms-tv, som hænger på væggen.

Peakon er blevet en international virksomhed med kontorer og ansatte i både London og Sydney, fortæller medstifter og uddannet civilingeniør Christian Holm, som er klædt i jeans, T-shirt og hættetrøje.

Som en virksomhed, der i dag lever af at udvikle moderne trivselsundersøgelser båret af it, har Peakon typisk adgang til tusindvis af personers data fra andre virksomheders registre. Siden stiftelsen i 2009 har Peakon derfor arbejdet fokuseret med databeskyttelse og er i dag en af Danmarks førende virksomheder, når det gælder viden om de it-krav, som også danske virksomheder skal leve op til fra den 25. maj, når den nye EU-persondataforordning (GDPR) træder i kraft.

“Vi indsamler store mængder af persondata. Vores eksponering af data er dermed stor, og det skal vi have styr på. Vi har haft en fordel ift. at vide, hvilke lovkrav man skal efterleve, fordi vi har erfaring med at bygge og sikre store it-systemer, som mange andre – især små og mellemstore virksomheder – aldrig har stiftet bekendtskab med”, siger Christian Holm.

Danske virksomheder er i farezonen
Fra den 25. maj kan det koste den enkelte virksomhed i EU op til fire procent af den globale omsætning eller op til 150 mio. kr., hvis den ikke efterlever GDPR og beskytter borgernes persondata godt nok. Og mange danske virksomheder er øjensynligt i farezonen.

Ifølge en ny barometermåling fra IT-Branchen er hver tredje virksomhed ikke klar til at efterleve GDPR.

I Peakon har man derimod fra start arbejdet med at kategorisere alle data. Der er en klar plan for, hvordan man beskytter data, og hvordan kunderne kan få indsigt i de data, der er indsamlet om dem. Og det er sat i system, hvordan og hvornår data slettes, som loven foreskriver.

Når mange danske virksomheder stadig ikke er klar til at leve op til disse krav bare få uger før deadline, så skyldes det typisk, at de ikke er it-underleverandør og derfor ikke møder specifikke it-krav i hverdagen, forklarer Christian Holm:

“Man har faktisk kunnet operere i en mindre virksomhed uden overhovedet at støde ind i disse problemstillinger. De virksomheder står helt klart med store udfordringer, for med de nye datakrav har de en masse, de skal lære på kort tid, som de aldrig har hørt om før”.

Blæst på loven siden 2000
Siden 2000 har persondataloven herhjemme stillet krav til virksomheder om at beskytte danskernes persondata, men mange virksomheder har faktisk blæst på det. Derfor er de heller ikke klar til at leve op til kravene i den nye forordning, forklarer Peter Fogh Knudsen, som er kontorchef i Datatilsynet, der fører tilsyn med området.

“Man kan konstatere, at persondataloven ikke er blevet fulgt indtil nu. Mange af kravene i den nye EU-forordning er faktisk ting, som mange virksomheder allerede skulle have implementeret i dag. De har desuden haft to år, siden GDPR blev præsenteret i 2016, til at komme på plads”, siger han.

Også expert director i it-konsulentvirksomheden Devoteam Frederik Helweg-Larsen mener, at mange danske virksomheder har underkendt problemets omfang. En 2017-undersøgelse fra Devoteam viste, at mere end halvdelen af de danske virksomheder ikke havde en plan for, hvordan den skulle leve op til kravene i GDPR.

“Det har været konsekvensløst for danske virksomheder ikke at efterleve den gældende danske persondatalovgivning”, siger Frederik Helweg-Larsen og konstaterer:

“Mange store virksomheder har jo aldrig slettet data. Nu skal de have konkrete strukturer og værktøjer på plads til at gøre det. At få det på plads på bare to år er meget ambitiøst”.

Ud over manglende viden om reglerne har sanktionerne med bøder på maks. op til 15.000-25.000 kr. ikke været afskrækkende nok.

“Bøderne skal fremover have en mere afskrækkende effekt, og det må man sige, at de får med de nye EU-krav”, siger Peter Fogh Knudsen.

Udviklingen vendes på hovedet
Også hos Peakon oplever man, at mange virksomheder mangler indsigt i, hvilke data man opbevarer, hvor lang tid man må opbevare dem, og hvad der egentlig skal slettes.

Peakon oprettede fra start et systemregister. Alle data bliver kategoriseret.

“Vi kategoriserer fx også alle mails, der kommer ind, fra start af og sletter upfrontdata, vi ikke skal bruge, så vi ikke ligger med store mængder af ustrukturerede data. Så ved vi, præcis hvor vores personfølsomme data er opbevaret, og hvad der er udløb på hvornår. Det er den bedste start til at få et godt overblik”, siger Christian Holm.

Men det er ikke for sent at gøre noget. Han opfordre de virksomheder, som halter bagefter, til at gå aftaler med alle it-leverandører igennem for at sikre, at også de har styr på lovgivningen. Og så skal man foretage en risikovurdering af sine personfølsomme data. Så kort før EU-kravene træder i kraft, handler det om at vise, at man gør noget, og at man har en konkret plan for, hvordan man vil leve op til loven fremover.

“Hos os lavede vi et risikoregister for hver afdeling over, hvor sandsynligt det er, at noget vil ske, og hvad er konsekvensen, hvis det sker. Så ved vi, hvad vi skal gøre. På den måde kan man komme meget langt, og det behøver ikke at være kompliceret eller tage lang tid”.