Alexandra Instituttet A/S // Aktuelt // Nyheder // Nyheder 2017 // Danske it-virksomheder forbereder sig på persondataforordningen

Danske it-virksomheder forbereder sig på persondataforordningen

Artikel

29-11-2017

Danske it-virksomheder forbereder sig på persondataforordningen

Alexandra Instituttet har interviewet den GDPR-ansvarlige i ti mellemstore it-virksomheder og analyseret, hvilke tekniske og organisatoriske udfordringer, it-virksomhederne står med. Flere af virksomhederne havde en positiv tilgang og en plan fremadrettet.

EU’s kommende persondataforordning stiller en række nye krav til virksomheder og organisationers håndtering af data. Som individ får man ret til at slette og flytte sine data, og virksomheder skal i højere grad have styr på, at der er givet samtykke. 

Det vi har set i vores undersøgelse er, at der ikke nødvendigvis er den store panik i alle virksomheder, som man ellers hører mange steder. Det er derfor et lidt overraskende resultat af vores kvalitative undersøgelse. Dermed ikke sagt at alle virksomheder er 100% klar eller de ved, hvad de skal gøre på alle områder. De havde overvejende en positiv tilgang og en plan fremadrettet.

Med godt et halvt år til at forordningen træder i kraft, er store og mellemstore danske it-virksomheder ved at forberede sig på forordningen. Det viser de foreløbige resultater fra Alexandra Instituttet, der er i gang med at undersøge, hvilke udfordringer danske it-virksomheder har i forhold til implementering af persondataforordningen.

Alexandra Instituttet har interviewet de ansvarlige for persondataforordningen i ti mellemstore og store danske it-virksomheder, hvor den mindste har 35 medarbejdere, mens den største har flere tusinde ansatte. De har både spurgt om, hvad deres holdning er til  forordningen, og kigget på, hvilke tekniske og organisatoriske udfordringer, it-virksomhederne står med.

“Vi har undersøgt, hvilke udfordringer virksomhederne står overfor, og kan se, at der overordnet har været en ret positiv tilgang til forordningen. Man ser det her som en nødvendighed og en god ting at komme i gang med. Det har blandt andet betydet, at man har fået afdækket, hvor persondata flyder hen i systemerne. Mange af dem, vi har snakket med, ser det som en nødvendighed, som man ikke har tænkt så meget over før.”

Sådan lyder det fra Mads Schaarup Andersen, Senior Usable Security Expert, der sammen med Laura Lynggaard Nielsen, Specialist Anthropologist – begge fra Alexandra Instituttet – holdt oplæg i forbindelse med temamøde om forordningen den 21. november 2017. Det blev afholdt i samarbejde mellem ATV - Akademiet for de Tekniske Videnskaber, InfinIT og Digital Society Aarhus Universitet.

Laura Lynggaard Nielsen og Mads Schaarup Andersen, Alexandra Instituttet (Foto: Hans Christian Jacobsen/ATV).

Virksomhederne har skiftet fokus

Undersøgelsen viser, at de adspurgte it-virksomheder i stor grad ved, hvad der skal til for at komme i mål for at kunne leve op til forordningen.

“En anden interessant pointe er, at det har betydet et stort fokusskift for flere af virksomhederne. Når man tidligere har lavet risikoanalyser i disse firmaer, har det handlet om potentiel ‘impact’ for virksomheden selv. Nu er man tvunget til også at se på ‘impact’ for data-subjektet, altså de personer, man samler data ind om,” fortæller Mads Schaarup Andersen.

Det giver en række tekniske udfordringer. Fx hvordan man får hentet al data, man har om en person, frem fra systemerne.

“En af de store tekniske udfordringer, der er ved indførelse af forordningen, er fx, hvad man gør med al den information, man samler ind om en given bruger. Med forordningen følger der nogle rettigheder i forhold til at få indsigt i data og et krav om dataportabilitet, så man som data-subjekt kan samle informationerne og tage dem med videre. Det gælder også, hvis man skal slette al information om en person. Når man kører traditionel backup, har man nogle store udfordringer i forhold til at kunne slette, da data typisk bliver gemt på tape-backup, hvor man ikke ikke bare kan slette et enkelt dataelement,” forklarer Mads Schaarup Andersen.

Resultaterne er kun foreløbige, da den systematiske analyse af interviewene stadig er i gang. Næste skridt er at høre de mindre virksomheder.

“Der er ting, der indikerer,  at de små virksomheder har nogle større udfordringer, da de ikke har et stort apparat, som de kan sætte i gang. Her vil det typisk være én af ti medarbejdere, der sidder med forordningen, altså en større mundfuld, og derfor vil vi fremadrettet gerne se på, hvordan de står i det her,” forklarer han.

Virksomhederne har brug for gode råd

I forhold til de tekniske udfordringer er det vigtigt, at virksomhederne får nogle gode råd til, hvordan de kan efterleve forordningen, lyder det fra Henning Mortensen, formand for Rådet for Digital Sikkerhed.

Det er i blandt andet i forhold til at tage backup, hvor der i forordningen står, at man skal tage backup, så man kan genskabe data. Samtidig står der, at man skal sikre, at de registrerede kan få indsigt i deres data, og at de kan få slettet deres data. 

“De to ting konflikter med hinanden i den virkelige verden, hvis man har en tape backup-løsning, fordi det ikke er særligt let at slette data. Hvordan laver man en afvejning mellem de to punkter? Det er noget af det, som virksomhederne ikke ved i dag, og derfor vil vi bede Justitsministeriet give os nogle gode råd til, hvordan man som virksomhed kan efterleve begge krav,” forklarer Henning Mortensen.

Henning Mortensen, formand for Rådet for Digital Sikkerhed (Foto: Hans Christian Jacobsen/ATV).

Flere letlæste vejledninger på vej

Ifølge Cristina Angela Gulisano, direktør i Datatilsynet, er forordningen en ‘moppedreng’ på 1.500 sider med meget juridisk tekst, og derfor er man fra Datatilsynets side gået i gang med at lave letlæste vejledninger. Samtidig har man lanceret hjemmesiden www.dbreform.dk og lavet 12 spørgsmål, der kan forberede den dataansvarlige på forordningen. 

“Et af formålene med forordningen er netop at matche den digitale udvikling, men der er også noget om snakken, når man siger, at der er tale om en evolution, og ikke en revolution. Vi er i tilsynet meget spændte på, hvor mange anmeldelser om brud på persondatasikkerheden, der kommer. Jeg håber imidlertid, at der er så godt styr på datasikkerheden i Danmark, og at antallet ikke bliver voldsomt stort. Men uanset antallet, så er det vigtigt, at vi lærer, så vi ikke begår den samme fejl flere gange,” forklarer hun.

Helt afgørende er dog, at de – forhåbentlig få – der endnu ikke er kommet i gang med at forholde sig til forordningens konsekvenser, får sat turbo på, forklarer Cristina Angela Gulisano.

“Der er nok en del, der har ventet, til forordningen blev en realitet, ligesom der er dem, der har gået og ventet på betænkningen – og som nu også tænker: lad os lige få vejledningerne med, før vi går i gang. Men jeg er nødt til at sige, at man er nødt til at komme i gang nu med at kigge indad, fordi man bedst selv kender sin egen organisation og virksomhed, og ved, hvilke overvejelser det er vigtigt at få gjort i forhold til temaer som sletning og opfyldelse af de nye krav omkring dataportabilitet,” slutter Cristina Angela Gulisano.

Senior Usable Security Expert, PhD
+45 93 50 84 40
Åbogade 34, 8200 Aarhus N
Nygaard bygningen, 3. etage lokale 375
.