Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.
25. maj 2018 blev GDPR-lovgivningen til virkelighed efter stor diskussion, opmærksomhed og ikke mindst forvirring blandt danske virksomheder. For hvordan skulle virksomhederne gribe den nye lovgivning an – og hvordan reagerede myndighederne, hvis virksomhederne ikke overholdte de nye spilleregler?
I dag er der gået lidt over to år siden lovgivningen trådte i kraft i hele EU, og både de danske forbrugere og virksomheder har forsøgt at tilpasse sig en virkelighed, hvor GDPR-lovgivningen skal sikre, at virksomheder og offentlige instanser ikke går på kompromis med personfølsomme data.
Overholder virksomhederne ikke lovgivningen, kan det medføre klækkelige bøder i millionstørrelsen. Derfor var det også ventet med stor spænding, da de første anmeldelser tikkende ind.
I Danmark så vi allerede efter seks måneder den første politianmeldelse fra Datatilsynet, da Danmarks største terapiportal ikke havde styr på at beskytte personfølsomme data.
Blot få måneder senere kom den næste anmeldelse, hvor et stort dansk taxaselskab ikke havde efterlevet fristerne for sletning af kunders data i forbindelse med næsten ni millioner taxature, som var ældre end to år. I dette tilfælde blev bøden fastsat til 1,2 millioner kroner.
Det er dog ikke kun private virksomheder, der har haft rod i databeskyttelsen. Således kunne man fornyeligt læse om de første to kommuner, der blev anmeldt til politiet med en indstilling til bøder på mellem 50.000 og 100.000 kroner.
Bødetaksterne fra Danmark er dog væsentligt lavere end tilsvarende sager fra udlandet, hvor f.eks. British Airways er idømt en bøde på 1,5 milliarder kroner for overtrædelse af gældende GDPR-lovgivning.
Datatilsynets seneste årsrapport viser, at tilsynet i 2019 modtog 7.242 anmeldelser om sikkerhedsbrud hos danske virksomheder og organisationer, hvilket var en stigning på 166 procent i forhold til året før, hvor de blot modtog 2.722 anmeldelser.
Med ovenstående eksempler in mente kan man konkludere, at Datatilsynet tager GDPR-lovgivningen seriøst – og derfor skal den også tages mindst lige så seriøst af både store og små virksomheder samt den offentlige sektor, der i den grad ligger inde med borgernes personlige data. Kort sagt: Ingen går fri, hvis de har rod i datahåndtering og databeskyttelse.
Nye teknologier giver nye udfordringer
Sideløbende fortsætter de danske virksomheder deres digitale omstilling, hvor de omfavner nye teknologier, der kan give dem værdifulde data.
Allerede nu oplever virksomhederne en enorm stigning i de data, som de råder over, og der er ingen tegn på, at væksten i datamængderne vil aftage i fremtiden.
Dell Technologies’ seneste Global Data Protection Index, viser da også, at en gennemsnitlig virksomhed håndterede hele 13,5 petabyte data i 2019, hvilket er en stigning på 40 procent i forhold til 2018 og hele 831 procent siden 2016.
Med store mængder data kommer også en større udfordring med at sikre data, for samme undersøgelse viser også, at hele 82 procent af de adspurgte, at de har oplevet hændelser som cyberangreb, datatab og nedetid.
Samtidig med at virksomhederne oplever flere hændelser, svarer 71 procent, at brugen af nye teknologier som eksempelvis kunstig intelligens, 5G- og edgeinfrastruktur og cloudnative-applikationer, gør databeskyttelse mere kompleks.
Faktisk svarer 61 procent, at de nye teknologier udgør en reel trussel mod databeskyttelse.
Vores erfaringer viser desværre, at det kan være svært at opnå en høj datasikkerhed, når først en ny teknologi er blevet koblet sammen med legacy-systemer.
Derfor er det essentielt, at man allerede fra begyndelsen tænker datasikkerhed ind, når man implementerer ny teknologi.
Datasikkerhed skal være en del af medarbejdernes arbejdsgange
Sundhedskrisen har medført, at mange virksomheder har omstillet sig til lange flere mobile og hjemmearbejdende medarbejderne.
I denne nye virkelighed skal virksomhederne være ekstra påpasselige med at beskytte de personfølsomme data, når arbejdspladsen pludselig kan inkludere hundredvis eller tusindvis af hjemmearbejdspladser.
Databeskyttelse skal derfor tænkes ind i medarbejdernes arbejdsgange – både når de er koblet til virksomhedens netværk via VPN, men også når de er offline. Sker det ikke, er der en overhængende risiko for, at der skabes og lagres store mængder af data lokalt på medarbejdernes pc, hvilket er guf for cyberkriminelle, og det kan hurtigt blive til brud på GDPR-lovgivningen.
For mindre virksomheder, der ikke har uanede ressourcer, kan det være en udfordring at være på forkant med GDPR-lovgivningen – ja for nogle kan det endda virke uoverskueligt.
Den gode nyhed er, at der er hjælp at hente fra Datatilsynet, som deler ud af gode råd og vejledning på deres hjemmeside.
Der er mange muligheder for at sikre overholdelse af GDPR-lovgivningen, uden virksomhederne skal bruge store budgetter.
Men skal virksomheden gennemgå en succesfuld digital transformation og samtidig beskytte de voksende datamængder, er det vigtigt, at de udarbejder forretningsstrategier, der også inkluderer investeringer i datasikkerhed.
Sker dette ikke, kan virksomhederne hurtigt komme på kant med GDPR-lovgivningen – og det kan hurtigt koste på både bundlinjen og omdømmet.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.