Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
De seneste 12 måneder har langt de fleste virksomheder investeret betydelige interne ressourcer, penge, og mange har også fået ekstern hjælp til at forberede sig på persondataforordningen, kaldet GDPR, der trådte i kraft 25. maj.
En væsentlig årsag til travlheden med at overholde persondataforordningen er, at virksomheder kan blive idømt endog meget store bøder på op til 20 millioner euro eller fire procent af omsætningen, hvis der sker brud på reglerne.
De store konsekvenser har fået GDPR helt op øverst på agendaen hos både topchefer, virksomhedsejere og bestyrelser.
Men har I og jeres rådgivere overset den mest åbenlyse GDPR-udfordring?
Arbejdet med at overholde reglerne i persondataforordningen har primært omhandlet digitale data.
Hvordan indsamler og opbevarer vi data, hvilke tilsagn skal vi have fra kunder og ikke mindst hvordan sikrer vi, at udenforstående ikke får adgang til vores fortrolige data.
Det har skabt kronede dage hos it-konsulenter og sikkerhedsfirmaer. Med god ret.
Men når vi i Acco i både Danmark og andre europæiske lande taler med vores kunder, får vi ofte den fornemmelse, at langt de fleste virksomheder helt eller delvist har overset den største og mest udbredte kilde til datasikkerhedsbrud.
Langt de fleste virksomheder opbevarer og behandler data på papir – typisk parallelt med digital opbevaring, og selvom papirforbruget falder, er det stadig stort.
Samtidig stiger mængden af informationer, vi har adgang til.
Førhen bestod et kundekartotek primært af navne, adresser og lignende.
I dag har man omfattende viden om ens kunder og samarbejdspartnere og mange data er omfattet af forordningen.
En undersøgelse foretaget af den britiske datamyndighed i 2016 viste, at hele 40 procent af alle databrud kunne tilskrives papirdokumenter. Alskens digital datasikkerhed hjælper ikke, hvis medarbejdere efterlader fortrolige dokumenter i papirkurve og affaldscontainere.
Man kan levende forestille sig, hvordan journalister, forskellige NGO’er og aktivister vil prøve at dokumentere brud på forordningen på den mest enkelte og oplagte måde ved at gennemtrawle affaldscontainere.
Deres formål vil alene være at dokumentere, at nogle virksomheder ikke lever op til deres ansvar, og det kræver faktisk ikke de store evner at ’hacke’ en affaldscontainer.
Langt mere alvorligt bliver det, når egne medarbejdere, eksternt rengøringspersonale og håndværkere eller andre uberettiget får adgang til fortrolige oplysninger, som efterfølgende misbruges.
Bødens størrelse er alvorlig nok, men oveni kommer omdømmetab og mistet tillid fra kunder og andre interessenter.
Heldigvis er det ret enkelt at fjerne denne risiko – endda med velkendt teknologi og solide interne forretningsgange, så papirer ikke flyder på kontoret.
Læs også:
Datatilsynet står klar til første tilsyn efter GDPR: Hvem bliver den første, der får besøg?
Velkommen til en ny tid: GDPR er kommet for at blive - og det bliver (nok) strammere endnu
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
