2 år med GDPR compliance

Er din virksomhed GDPR compliant?

GDPR har i år fejret sin to-års-fødselsdag og der er mange erfaringer at hente – og dermed noget at blive klogere på.

Alvoren og konsekvenserne ved ikke at være compliant risikerer at overskygge selve hensigten, nemlig at beskytte brugernes data.

Denne artikel giver dig et overblik over nogle af de vigtigste principper på vejen til at blive GDPR compliant samt konsekvenserne ved manglen på samme.

Hvad er GDPR?

Den generelle databeskyttelsesforordning (The General Data Protection Regulation, eller bare GDPR) er et sæt regler designet til at give EU borgere mere kontrol over deres personlige data. Forordningen har været gældende for virksomheder og privatpersoner siden den 25. maj 2018 og satte derfor et punktum på 2 års forberedelse.

Databeskyttelsesforordningen, der i år har fejret 2 år, har til formål at beskytte enkeltpersoners personlige oplysninger og forenkle det lovgivningsmæssige miljø for virksomheder og organisationer, så både de og borgere i EU kan få fuldt udbytte af den digitale økonomi.

GDPR er designet med øje for den internetforbundne tidsalder og bringer derfor love og forpligtelser omkring persondata, privatlivets fred og samtykke helt up-to-date.

Data er blevet en del af kulturen

På trods af en lang overgangsperiode der gav virksomheder og organisationer mulighed for at tilpasse sig forordningens krav, har processerne omkring data alligevel været overvejende præget af kompleksitet og manglende overblik i perioden op til. Den 25. maj 2018 markerede dog en afslutning på dette med strenge regler for lovlig indsamling og behandling af persondata.

Selvom vejen til compliance ikke har været lige let for alle virksomheder og organisationer, er det dog tydeligt at lovgivningen har været et skridt i den rigtige retning.

Databeskyttelsesforordningen trådte i kraft den 5. maj 2016 og fik virkning fra den 25. maj 2018. Forordningen er gennemført af et uafhængigt europæisk organ bestående af repræsentanter for de nationale databeskyttelsesmyndigheder i EU – og EØS-landene. Disse myndigheder sikrer en konsekvent anvendelse af databeskyttelsesreglerne i hele EU.

Som beskrevet indledningsvist, er formålet med forordningen at give enkeltpersoner mere kontrol over deres personoplysninger og give dem mulighed for at rejse eventuelle klager hvis deres oplysninger ikke bliver behandlet ordentligt. For virksomheder og organisationer betyder det derfor, at personoplysninger skal behandles lovligt og efter en lang række regler. Behandling af personoplysninger dækker over enhver håndtering af personoplysninger, herunder indsamling, opbevaring, brug, tilpasning eller ændring, sletning osv. Og netop denne håndtering samt behandling af data har voldt problemer for virksomheder og organisationer. GDPR er sat i værk for at rydde op i en kultur, hvor data i høj grad er blevet misbrugt.

Hvad betyder det for virksomheder og organisationer?

GDPR har fungeret som en katalysator, der har startet en global bølge af databeskyttelsesregler.

Den omfattende lovgivning har været en omkostningsfuld affære for mange virksomheder og organisationer, der i mange tilfælde har måtte omstrukturere deres interne processer og procedurer. Og i dag hører man oftere sætninger som ”Det kræver GDPR” eller ”det må man ikke længere pga. GDPR”.

Virksomheder og organisationer er blevet pålagt strengere ansvar og skal adressere den hastigt stigende rolle, som data spiller i denne stadigt mere teknologiafhængige verden.

På den positive side, har forordningen medført en mærkbar forbedring ved at sætte nogle regler, som alle skal overholde, uanset om en virksomhed eller organisation befinder sig indenfor eller udenfor EU. De gode datavirksomheder, der har været dygtige også inden GDPR, er blevet endnu skarpere mens virksomheder der tidligere har ligget på et dårligt eller gennemsnitligt niveau i forhold til databehandling, er blevet markant løftet.

Hvad betyder det for brugeren?

For enkeltpersoner har GDPR betydet, at de har fået en række rettigheder til deres personlige oplysninger. På trods af, at der har været mange regler i lang tid, også inden GDPR’s indtræden, så har lovgivningen medført et skærpet fokus og opmærksomhed hos brugeren. Personer har fået et større og mere vågent indblik i, hvordan deres personoplysninger behandles og kan f.eks. kræve at se deres oplysninger, stoppe behandlingen og tilbagekalde samtykke, gøre indsigelse eller få oplysninger slettet til enhver tid. Selvom det grundlæggende er positivt for brugeren, at han/hun er blevet gjort opmærksom på sine rettigheder, så kan det i nogle tilfælde også vise sig for især virksomheder at være omfattende, når en bruger vælger at bruge GDPR til at misbruge sine rettigheder. En sådan udnyttelse, der udløser en forespørgsel fra bruger om, at gennemgå dennes data, kan for nogle virksomheder være en meget omfattende handling på meget kort tid.

For den opmærksomme bruger, kan det desuden føles som om browsing under GDPR er blevet begrænset pga. endeløse pop-up vinduer, der vil have dennes accept af cookies til et websteds privatlivspolitik, brug af data eller til målrettet reklame og markedsføring for eksempel. Det kan virke uoverskueligt fordi GDPR kræver et særskilt samtykke til hvert enkelt specifikke formål.

Vil du vide mere om reglerne for cookies og GDPR, så klik her.

Problemer med GDPR to år efter

Der findes vist ikke den virksomhed, der ikke ved hvad GDPR er i dag. Alligevel er det kun 20% af EU, UK og US virksomheder, der er fuldt ud GDPR kompatible. Forskning peger desuden på, at 30% af virksomhederne slet ikke er begyndt på deres GDPR overholdelsesinitiativer (Kilde Tessian). Så på trods af vi har passeret 2 årsdagen for GDPR, ser vi stadig virksomheder og organisationer, der kæmper med at blive 100% compliant.

GDPR_de_ti_største_bøder_i_EU
GDPR_De_danske_bøder

Bøderne afslører hvor virksomhederne er udfordret. Det skyldes fortrinsvis fejl i at overholde slettefrister, manglende klarhed omkring placering og behandling af data, regler og overtrædelse af gennemsigtighed og samtykke. Lad os kigge lidt nærmere på problemerne:

Manglende viden om og kontrol af data

Den største forvirring synes at ligge i forståelsen af den store mængde data som virksomheder opbevarer og behandler. Data er spredt overalt – på lokale servere, på enheder derhjemme, i skyen, på sikkerhedskopier og på kontoret og mange virksomheder mangler fortsat overblikket. Fordi data ligger så spredt, er det meget let for dem at ”vandre” fra for eksempel en intern til en ekstern bruger for derefter at gå tabt hos én af dem. I sidste ende vil det betyde at virksomheden falder ud af compliance.

Mange kæmper desuden med klarhed i forbindelse med dataeksponering, herunder viden omkring hvilke data der eksponeres, niveauet for dataeksponering og hvad indholdet af de faktiske data er. Summa summarum er, at mange virksomheder og organisationer stadig mangler den fornødne kontrol omkring personoplysninger for at sikre total overholdelse af GDPR.

Uklarheder omkring regler

”GDPR compliance er en opgave for den juridiske afdeling og IT-afdelingen.” Lyder denne sætning bekendt? Du har måske selv brugt den på et tidspunkt? Faktum er, at beskyttelse af personoplysninger ikke alene kan tilskrives den juridiske afdeling eller IT. Personoplysninger kan behandles af mange afdelinger og områder i en virksomhed eller organisation, og derfor skal alle der er involveret i behandlingen af data følge GDPR i deres forretningsprocesser.

Denne manglende bevidsthed omkring regler er bekymrende, da virksomheder udsætter sig for alvorlig risiko ved at ignorere forordningen. Derfor er det vigtigt at få udpeget både dataansvarlig og databehandler og i langt de fleste tilfælde også en DPO, som du løbende kan sparre med og som kan holde dig opdateret og rådgive omkring interne processer i henhold til GDPR.

Udpegelse af DPO

Rollen som Data Protection Officer (DPO), på dansk bedre kendt som databeskyttelsesrådgiver, er stadig ny og uprøvet og flere virksomheder har endnu ikke udpeget én og det kan koste virksomheder dyrt.

En DPO skal have et indgående kendskab til GDPR og persondataret og han eller hun skal være i stand til aktivt at kommunikere sin rolle i virksomheden og være i stand til at handle hurtigt på virksomhedens vision og prioriteter. Han eller hun skal desuden kunne prioritere kulturelle ændringer i henhold til en datadrevet filosofi og skal derfor sammen med den dataansvarlige løbende rådgive de medarbejdere, der regelmæssigt håndterer personlige data, herunder salg og marketing, IT og HR. Derudover er DPO’en ansvarlig for al kontakt og samarbejde med Datatilsynet

En DPO er pligtmæssig i alle offentlige myndigheder, mens der for de fleste private virksomheder og organisationer endnu ikke er et decideret krav om en. Er du i tvivl om din virksomhed eller organisation falder under kravene om at have en DPO, kan du finde svar her.

Manglende sletning

Datatilsynet har flere gange været ude med riven overfor virksomheder, der har fejlet i at overholde slettefrister. Det er derfor vigtigt at fastsætte slettefrister for behandling af personoplysninger i alle virksomhedens systemer.

Som eksempel kan fremhæves den danske møbelvirksomhed IDdesign, der i 2018 blev indstillet til en bøde på 1,5 mio. kroner for netop manglende overholdelse af interne sletteregler. Flere danske og udenlandske eksempler følger (se faktaboks her på siden) eller læs mere om bøderne her.

Det er desuden vigtigt at dine opbevarede personoplysninger ajourføres for konstant at sikre en høj datakvalitet. Sikres dette ikke, skal personoplysningerne straks slettes.

Hvad kan vi forvente de kommende år?

Håndhævelse af GDPR har udløst mange bøder de seneste par år, og i år har heller ikke været nogen undtagelse. I løbet af de første 10 måneder er der blevet uddelt over 220 bøder for overtrædelse af GDPR. Tendensen synes at være stigende og man forventer at databeskyttelsesmyndigheder rundt omkring i verden vil udøve større og mere profilerede sanktioner i henhold til GDPR-reglerne i de respektive lande.

Konklusion

På trods af det, evner mange virksomheder og organisationer her to år efter stadig ikke at blive absolut compliant i henhold til lovgivningen. Bøderne bliver flere og større og afslører hvor problemerne ligger. Derfor er der stadig plads til forbedringer og det er måske for tidligt at drage nogle endelige konklusioner mht. anvendelse nu. Med mere erfaring kan vi på lang sigt forvente endnu flere forbedringer.

GDPR skal gøre op med en kultur, hvor virksomheder og organisationer har brugt data som en lukrativ vare uden det nødvendige samtykke og uden personers hvis data blev udnyttet, viden. I dag sikrer forordningen beskyttelse af selvsamme personers personoplysninger og bliver fortsat mere indblandet i alt hvad virksomheder og organisationer foretager sig.

Disclaimer: Vi anbefaler altid, at du får juridisk rådgivning, hvis du vil være sikker på at overholde reglerne.

GDPR Cookies og Marketing

I disse tider med det stigende fokus på privatlivspolitik bør cookies få mindst ligeså meget opmærksomhed.

GDPR guide til at omgå de mest signifikante fælder

Der er efterhånden gået meget tid siden GDPR-lovgivningen trådte i kraft, men har du korrekt styr på håndteringen og beskyttelsen af dine brugeres data?

Data retention og Sletning

Du er sikkert efterhånden godt bekendt med databeskyttelsesforordningen (GDPR), men har du styr på data retention og interne slettefrister?