Persondata: Papirtigeren står for fald

– af Jørgen Papadopoulos, Expert Director og Frederik Helweg-Larsen, Principal.

I Danmark har man skullet overholde persondataloven de sidste mange år. Men de fleste virksomheder har stadig store udfordringer med håndtering af persondata. Ofte mangler der grundlæggende forudsætninger som indsigt i, hvordan persondata behandles samt overblik over, hvor de opbevares. 

Nu er der så en ny lov på vej, EUs Persondataforordning. Men hvis ikke danske virksomheder, offentlige som private, ændrer måden de håndterer personoplysninger på, vil der heller ikke ske noget i denne omgang. I hvert ikke noget godt. Det er nemlig ved at blive alvorligt. Persondataforordningen kalder ikke kun på justeringer, men en grundlæggende forandring i virksomheders tilgang til persondata.

En fremtid med persondata

Persondataforordningen træder i kraft 25. maj 2018, og strafferammerne er betragtelige: Op til 20 millioner euro eller fire procent af koncernomsætningen for private virksomheder. Overholdelse af loven bør imidlertid ikke være det eneste incitament til at tage persondata alvorligt.

Det er også det etisk rigtige. Følsomme persondata  kan udrette stor, nogle gange uoprettelig skade i de forkerte hænder, og det kan ramme alle, inklusive virksomhedens egne ansatte.

Etik og kvalitet i håndtering af persondata er også noget, kunderne i stigende grad efterspørger. Allerede i dag er der stor opmærksomhed på problemer med privacy, og den fortsatte digitalisering af samfundet vil forstærke det fokus. Apple er et af de mest fremtrædende eksempler på denne udvikling, da virksomheden tidligere på året nægtede FBI adgang til kundernes iPhones.

Forældende metoder og umodne virksomheder

Lige nu ser det imidlertid sløjt ud hos danske virksomheder, når det gælder håndtering af persondata. Det skyldes ikke kun en begrænset indsats, men nok så vigtigt manglen på et mindset, hvor problemstillingerne tænkes ind fra starten.

Den gængse tilgang til håndtering af persondata er i dag reaktiv og normativ, hvor eksempelvis revisorer eller jurister arbejder med tjeklister, altså en klassisk compliance-opgave. Hvis papirerne er i orden, er situationen i orden.

Data skal begrænses

Det er imidlertid en konstrueret virkelighed, der vil falde fra hinanden, når testen er EUs persondataforordning. Den indeholder ikke kun en juridisk opdatering, men introducerer en ny ånd i loven med syv grundlæggende principper, der ændrer spillereglerne.

  1. Lovlighed, rimelighed og gennemsigtighed.
  2. Formålsbegrænsning.
  3. Dataminimering.
  4. Rigtighed.
  5. Opbevaringsbegrænsning.
  6. Integritet og fortrolighed.
  7. Ansvarlighed.

Det måske vigtigste paradigme er definitionen af ejerskab. Det er borgerens data. Virksomheden låner eller lejer disse data i en begrænset periode. Derfor skal virksomheden lære at undgå ukritisk og måske endda ubevidst opsamling, både hvad angår formål og geografisk placering.

Samtidig er der retten til at blive glemt, hvor en borger i en række tilfælde kan bede om at få slettet sine persondata, og virksomheden skal have de rette procedurer til at efterleve anmodningen.

Værktøjer i stedet for god tro

Ånden i persondataforordningen og de syv principper er så gennemgribende, at det ikke er muligt at efterleve den med de gængse reaktive tjekliste-metoder.

Lad os tage et banalt eksempel som en fremsendt jobansøgning med vedhæftet CV. Disse persondata kan hurtig finde rundt i virksomheden til diverse indbakker og filsystemer gemt i både lokale datacentre og i cloud-løsninger. Ifølge EUs persondataforordning skal sådanne data slettes efter seks måneder, men det er de færreste virksomheder, der er klædt på til en sådan tilsyneladende simpel øvelse i dag.

De fleste vil søge rundt i systemerne og slette, hvad de finder, hvilket de vil meddele i god tro. Men der kan sagtens være gemt en kopi i et fjernt datterselskab eller obskurt filsystem. God tro er ikke nok til at overholde loven.

Problemet hænger sammen med arbejdsgangene og metoderne, der ikke er gearet til en datatid med persondata. For eksempel dokumenterer mange virksomheder i dag dataflow og forretningsgange via afholdelse af interview. Men i nutidens datamiljøer er i praksis umuligt at afdække, hvor persondata opbevares og overføres uden brug af teknologiske værktøjer.

Sådanne løsninger kommer imidlertid ikke af sig selv, men kræver netop et andet mindset, hvor virksomheden tænker i konstant kontrol af persondata.

Nogle virksomheder har fået den fejlagtige opfattelse, at løsningen ligger i ansættelse eller udpegelse af en DPO (Data Protection Officer), hvor ansvaret kan placeres. Men det er langt fra tilstrækkeligt til at så omfattende forandringsprojekt. Der vil være behov for en vedvarende forandringsproces på tværs af organisationens forretningsprocesser, jura og it.

Roadmap til implementering

Den overhængende risiko for danske virksomheder er, at de tilgår EUs persondataforordning på samme måde som den 16 år gamle persondatalov: Reaktivt og med utilstrækkelige metoder, hvor det kun ser godt ud på papiret.

Devoteam vil ikke hjælpe virksomheder med at bygge en papirtiger. Vi vil hjælpe med den nødvendige strategiske forandring, skridt for skridt.

De følgende to figurer er eksempel på indsatsområder og roadmap for en virksomhed udformet på baggrund af dens specifikke modenhed.

Figur 1: Indsatsområder for persondatastrategi

Venstre del viser de tre strategiske prioriteringer, formuleret på baggrund af principperne i persondataforordningen.

Højre del definerer 12 specifikke indsatsområder.

Figur 2: Roadmap for en persondatastrategi

Den afgørende del i processen er implementering som vist i dette roadmap indeholdende de 12 indsatsområder. Processen løber frem til frem til persondataforordningens ikrafttrædelse i 2018.

Her er nogle eksempler på, hvad nogle af de 12 områder indeholder af teknologiske udfordringer:

Business Process & Dataflow Analysis (1): Teknologiske værktøjer til at spore og dokumentere det virkelige flow af persondata i virksomheden på tværs af juridiske grænser.

Information Lifecycle Management (5): Software til at sætte regler for datas udløbsdato. Data slettes automatisk, medmindre ”lejemålet” forlænges i aftale med personen, ejeren.

Data Discovery & Shadow IT (6): En data discovery-funktion scanner virksomhedens systemer med specialudviklede filtre for at sikre, samtlige persondata er registrerede og opdaterede. Med Shadow IT afdækkes også systemer, som medarbejdere bruger uden for it-afdelingens kontrol, eksempelvis Dropbox eller Gmail.

Værktøj til organisering

Men der skal ikke kun ledes efter data, der skal også organiseres. Devoteam har derfor udviklet og introduceret ledelsessystemet DPMS (Data Protection Management System), som giver virksomhedens DPO (Data Protection Officer) vejledninger og værktøjer, der videreudvikles i samarbejde med kunden.

Figur 3: Devoteams Data Protection Management System

Strategi til forandring

Forbedringerne kommer imidlertid ikke uden forandringer. Der er behov for en kontinuerlig, fokuseret indsats, som vi har udtrykt i følgende tre strategiske råd:

  1. Få overblik over helheden og tag ét trin adgangen. Det er en fejl at begynde med slutningen.
  2. Erkend forandring i databehandlingen. Compliance kommer, når man gør det rigtige.
  3. Skabe et levedygtigt program med fungerende processer. Det et ikke et compliance projekt, men en langsigtet tilpasning af databehandling.

Det handler om at gøre det rigtige, ikke at undgå straf.

Digitaliseringen er kommet for at blive, og det samme er hensynet til borgernes data. Jo før virksomheden vænner sig til den virkelighed og går i gang med den nødvendige forandringsledelse, jo bedre. Både for virksomheden og samfundet.

Vil du vide mere? 

Så er du velkommen til at kontakte Frederik og Jørgen.

Vi stiller gerne op til faglige indlæg og individuelle møder om emnet.

Kontakt

Frederik Helweg-Larsen

Expert Director

Jørgen Papadopoulos

Expert Director