Der holdes fortsat mange seminarer om EU’s persondataforordning (EU-GDPR), og der møder fortsat mange frem til disse seminarer.
Jeg deltager i mange af dem, og jeg undres stadig over nogle af de spørgsmål, der stilles på dette tidspunkt. Jeg har før i andre fora gjort mig til talsmand for at alle danske virksomheder skal igennem en øvelse omkring, hvordan deres virksomhed bliver compliant.
At der på dette tidspunkt stadig stilles spørgsmål som ”hvad menes der med persondata?”, ”gælder det for virksomheder?” osv. siger bare noget om, at der ligger meget arbejde foran os alle.
Enhver virksomhed, der har blot én ansat, som de laver lønregnskab for, er omfattet af kravene i GDPR og skal leve op til forordningens ordlyd. Punktum.
Har man ikke indset dette endnu, er man ved at være sent ude. Der skal nemlig præsteres en relativt stor mængde arbejde på de indre linier, før man er i mål.
Hvad er i øvrigt ”i mål”?
I min optik er man i mål, når man kan tåle et uanmeldt besøg af Datatilsynet (efter 25. maj 2018) uden væsentlige skrammer.
Ingen – eller i hvert fald kun ganske få virksomheder - vil komme 100 procent i mål og være i stand til mat leve op til ALLE forordningens krav, selv om flere har ambitioner om det.
Bidrager ikke på bundlinien
Sagen er, at der skal leveres meget arbejde af interne ressourcer og med hjælp fra en vis mængde eksterne ressourcer. Det er arbejde, som ikke bidrager med én krone på bundlinien.
Virksomheder, der allerede er kommet i gang, sætter oftest som mål: ”Hvordan bliver vi compliant med den mindst mulig indsats”?
Det til trods for, at når projektet er igangsat, ligger for eksempel en ISO27001-certificering snublende nær - plus en række andre gode ting.
Der skal anvendes mange interne ressourcer, både tid og penge, som kunne være anvendt på resultatskabende aktiviteter, på et projekt, der blot er til for ”at overholde loven”.
”Lad os få det overstået og komme videre med noget. der stemmer overens med vores forretningsmålsætninger,” må være overskriften for mange virksomheder lige nu.
Der mangler en markant motivation
Tag ikke fejl. Jeg synes, det er alt ære og ihærdighed værd, at der anvendes ressourcer på at sikre mine personlige data, når de er overladt til andre, og at det er mig og mine data, der er i fokus, når virksomheder, organisationer og offentlige myndigheder sætter nye systemer i drift.
Der mangler pt en faktor, der kan give virksomhederne sparket til at komme i gang – en markant motivation.
Kan projektet for eksempel anvendes til at sikre en virksomhed en konkurrencefordel i forhold til en konkurrent, vil det være en væsentlig motivation for at komme i gang.
En konkurrencefordel giver dog kun mening for det næste halve år. Bedre er det, hvis en compliance-certificering kan anvendes også efter 25. maj 2018.
Forordningens artikel 42 og 43 behandler og sætter rammer for en sådan certificering (”The European Data Protection Seal”), så det er ikke bare en fiks idé fra min side.
Justitsministeriet diskuterer i dens betænkning 1565 (på cirka 1.300 sider) om der skal certificeres systemer eller virksomheder. Jeg tror begge.
Man kan udstede en certificering på at eksempelvis NAV-version ”nyeste” umiddelbart kan certificeres som compliant, og således blandt andet leve op til kravene om både privacy by default and privacy by design, ligesom det kan åbne for sletning af data, når der ikke mere er behandlingshjemmel til rådighed.
Det kan ingen virksomheder dog bruge til noget, idet enhver virksomhed kan vælge at bruge systemet på en måde, som gør system-certificeringen værdiløs, ligesom man måske har fået udformet tilpasninger, som bryder med alle regler. En systemcertificering kan derfor kun anvendes til at lette en virksomheds certificering.
Certificering på at være compliant
Det virkelige certifikat skal være virksomhedens certifikat på, at man er compliant i implementeringen af den porteføjle af systemer og forretningsgange, der er gældende i virksomheden på certificeringstidspunktet, samt at man har procedurer i forretningen til at holde nye systemer og forretningsgange indenfor forordningens rammer.
Virksomheder, der arbejder med offentlige myndigheder oplever ofte i databehandleraftaler at skulle indhente ISAE erklæringer på persondatahåndtering og it-sikkerhed (ISAE3000 og ISAE3402), hvilket koster penge.
Der er ingen tvivl om at en sådan certificering koster penge og arbejde, men det meste af det arbejde udføres allerede igennem projekter, som mange virksomheder lige nu gennemgår eller om kort tid indleder. Ved at arbejde mod en certificering har projektet et kvantificerbart mål, og man får noget, der kan anvendes i praksis i forhandlinger med kunder og leverandører.
Nu er det op til Datatilsynet og Justitsministeriet at leve op til forordningens artikel 43 (certificerings instanser) og få udpeget og certificeret ”bureauer”, der kan certificere virksomheder.