Alexandra Instituttet A/S // Aktuelt // Nyheder // Nyheder 2018 // SMV'er har få muskler til at leve op til dataregler

SMV'er har få muskler til at leve op til dataregler

Artikel

12-03-2018

SMV'er har få muskler til at leve op til dataregler

Store virksomheder går gerne forrest for at leve op til persondataforordningen, mens flere mindre virksomheder ser det som noget unødvendigt, man kun lige akkurat lever op til. Det viser en undersøgelse her lidt over to måneder, før forordningen træder i kraft.

Den 25. maj træder EU's nye persondataforordning (General Data Protection Regulation, GDPR) i kraft som lov i hele EU og dermed også i Danmark. Forordningen sætter fokus på at sikre bedre håndtering af persondata og databeskyttelse og giver bedre muligheder for at sanktionere virksomheder, der ikke lever op til forordningen.

Det har sat gang i et arbejde med at få styr på persondata i en grad, der ikke tidligere er set.

En undersøgelse baseret på interviews som Alexandra Instituttet har foretaget blandt ti store og mellemstore virksomheder samt fem mindre virksomheder viser, at der er stor forskel på, hvor godt forberedte og hvor godt rustede virksomhederne er til at håndtere de krav, som forordningen stiller.

Læs GDPR i praksis – når forordningen rammer virkeligheden.

Store og mellemstore virksomheder har en plan for implementering

Hvor de store og mellemstore virksomheder har væsentlige ressourcer sat af til implementering og har en plan for, hvad de skal gøre, ender opgaven i mindre virksomheder ofte hos en enkelt person. De er derfor i større risiko for forsinkelser.

Undersøgelsen viser, at de store og mellemstore virksomheder generelt er positivt stemt over for forordningen, og de har en oplevelse af at vide, hvad de skal gøre for at leve op til forordningen. De ser arbejdet som en nødvendig og god ting at komme i gang med, hvor man får afdækket, hvor data flyder hen i systemerne og samtidig får ryddet op i de data, som de måske unødvendigt har liggende. Flere nævner, at det er en aha-oplevelse, at man ikke bare skal tænke på forretningen, men også på den registrerede.

Forordningen er ressourcekrævende for mindre virksomheder

De mindre virksomheder ser forordningen som noget uigennemskueligt og krævende, der i sidste ende kan betyde, at man må rulle digitale projekter tilbage. De ser datareglerne som overdrevne og mener, at det i højere grad er de store virksomheder, der trænger til opstramningen.

De mindre virksomheder er samtidig langt mere sårbare og meget afhængige af eksterne kilder til viden. Implementeringen er typisk bundet op på én eller få personer.

"Grunden til at vi har valgt at snakke med virksomhederne er, at vi kunne se, at der var en efterspørgsel efter at finde ud af, hvad andre gør. At der er forskel på store og mindre virksomheder giver rigtig godt mening. De store har flere muskler, og det er måske et større team, der arbejder på at imødegå kravene. De mindre virksomheder er meget mere sårbare. I de mindre er det måske 'en ovre fra regnskab', og dermed bliver ansvaret meget mere personbåret og afhængigt af, hvem der er i virksomheden," fortæller Laura Lynggaard Nielsen, Specialist Anthropologist fra People, Technology and Business Lab i Alexandra Instituttet. 

Virksomhederne er generelt spændte på, hvordan forordningen bliver implementeret og hvor store bøder, folk kommer til at få. Der spekuleres lidt i, hvor store ressourcer Datatilsynet har til at håndhæve reglerne.

"De store og mellemstore ser forordningen som en sund oprydning og har en ambition om at gå forrest for at komme i mål. Holdningen er, at selvfølgelig skal man opføre sig ordentligt, også selvom det er et stort arbejde. De mindre virksomheder har færre ressourcer til arbejdet og ser forordningen som noget unødvendigt og overdrevent ift. de data, de ligger inde med. De betragter det som noget, de er nødt til at gøre og sigter blot efter lige akkurat at leve op til forordningen," fortæller Mads Schaarup Andersen, Senior IT Consultant fra Alexandra Instituttets Security Lab.

Områder der kan være vanskelige for virksomhederne

Virksomhederne har peget på følgende områder, hvor der opstår vanskeligheder med implementeringen. Enten fordi det indebærer et stort arbejde, eller fordi man mangler metoder og teknologi til at udføre opgaven, eller fordi der er uklarheder i forordningen.

Overblik: Det kan være vanskeligt og tidskrævende at få overblik over de softwaresystemer og data, der findes i virksomheden. Virksomhederne mangler en metode for, hvordan man griber det an.

Rolle i databehandling: Det er ikke altid gennemskueligt for virksomhederne, om de er databehandler eller dataansvarlig.

Deling af data på tværs af grænser: Der er tvivl om, hvordan regler er for deling af data på tværs af grænser, når der fx er tale om datterselskaber.

Samtykke: Det er ikke tydeligt, hvor ofte der skal bedes om samtykke, og hvor længe det skal opbevares.

Anonymisering og pseudonymisering: Virksomhederne har svært ved at vurdere, hvornår data er tilstrækkeligt anonymiseret og pseudonymiseret.

Sletning ift. backup: Backups gør det svært for virksomhederne helt at slette en registreret. De efterlyser en uddybning af, hvordan det skal udføres i praksis.

 

Profilbillede af Laura Lynggaard Nielsen
Specialist Anthropologist
+45 40 17 65 53
Åbogade 34, 8200 Aarhus N
Hopper bygningen, 3. etage lokale 332

Om GDPR-rapporten

Rapporten GDPR i praksis – når forordningen rammer virkeligheden indeholder interviews med ti store og mellemstore virksomheder samt fem mindre virksomheder.

Formålet med rapporten er at komme bredt omkring de udfordringer, som danske virksomheder står overfor.

Målet er at pege på områder, hvor virksomheder og udbydere af konsulentydelser omkring forordningen med fordel kan sætte ind.

Rapporten er primært tiltænkt rådgivere og udbydere inden for it.

Rapporten er udført af et team af sikkerheds- og privacyeksperter og antropologer fra Alexandra Instituttet i samarbejde med:

.