Medarbejderne og ledelsen i danske virksomheder har knoklet for at blive klar til EU’s nye skrappe regler om persondata, GPDR, som får virkning fra i dag. Erhvervsorganisationen Dansk Industri mener, at det hårde arbejde med at leve op til EU-forordningen kan blive en fordel for danske virksomheder.
– Vi skal gøre beskyttelsen af persondata til en dansk styrkeposition, så forbrugerne, kunderne og leverandørerne ved, at de kan stole på danske virksomheder. EU’s forordning har været en glimrende anledning til at starte det arbejde, siger adm. direktør Karsten Dybvad, DI.
En helt ny rundspørge blandt DI-medlemmer viser, at virksomhederne har arbejdet hårdt på at efterleve persondataforordningen. Mere end 8 ud af 10 af de deltagende virksomheder svarer således, at de har et fuldt overblik over de nye regler. I slutningen af 2017 var det kun halvdelen, der svarede, at de havde fuldt overblik.
– Vi har desværre på det seneste set internationale eksempler på, at det ikke er nogen selvfølge, at borgernes data bliver brugt forsvarligt eller ikke blive misbrugt. Her har Danmark og danske virksomheder et fantastisk udgangspunkt for at gøre digitalisering og datasikkerhed til en styrkeposition på samme vis, som eksempelvis høj fødevaresikkerhed er det i dag, siger Karsten Dybvad.
Hvis databeskyttelse skal være en konkurrenceparameter, som danske virksomheder scorer højt på, så ligger der fortsat et pænt stort arbejde forude.
– Først og fremmest skal der ske en kulturændring i mange virksomheder. Medarbejderne skal lære at tænke i nye baner. Helt konkret skal bogholdere, HR-medarbejdere, sælgere mv. lære at genkende persondata og forholde sig til, hvordan de arbejder med det – hvor de gemmer oplysningerne, hvad de bruger dem til, og hvornår de sletter dem igen, siger Karsten Dybvad.
Hvis virksomhederne ikke overholder de nye regler om beskyttelse af persondata, risikerer de at blive idømt store bøder, der potentielt set kan lukke virksomhederne. Bøderne kan blive på op til 4 pct. af en virksomheds omsætning. Derfor opfordrer DI også de danske myndigheder til at gå i dialog med virksomhederne og rådgive dem, inden de udskriver store bøder.
At indføre nye arbejdsgange i en virksomhed tager tid, uanset hvor mange it-systemer virksomheden har til at hjælpe sig med arbejdet. Dertil kommer, at mange tvivlsspørgsmål om reglernes rækkevidde og fortolkning ikke kan besvares, før myndighederne fra i dag får skabt en praksis på de nye, forskellige områder.
– Det er vigtigt, at Datatilsynet viser forståelse for opgavens omfang – og særligt i den første tid satser på vejledning af virksomhederne frem for sanktioner. Virksomhederne vil gerne gøre det rigtige og bør derfor få mulighed for at rette ind, hvis de ikke rammer helt inden for skiven den første gang.
– Med andre ord bør Datatilsynet bruge alle redskaberne i deres værktøjskasse og ikke blot bødehammeren. De signaler er heldigvis også kommet fra tilsynet, siger Karsten Dybvad.