Persondataloven

Persondata snak erstattes af handling

2016 var præget af usikkerhed om udmøntningen af EU´s persondataregler. Ledelserne rundt omkring i de danske virksomheder blev i løbet af året opmærksom på, at det er forretningskritisk, at få styr på datareglerne

Ultimo 2016 gennemførte vi de første dataprojekter hvor virksomheder måler deres forretning op mod de nye regler. Der er planlagt flere projekter primo 2017 og det er tydeligt at 2017 bliver det store persondataår. Firmaerne er klar til at erstatte snak om reglerne med handling.

Når man har adgang til så meget information, skal man have meget robuste IT-systemer

Elastik i metermål

Datareglerne er på mange vigtige områder elastik i metermål. Det medfører betydelig usikkerhed ude i de små og mellemstore virksomheder. De fleste ledere er opmærksomme på de store bøder man risikerer, hvis forretningen ikke lever op til reglerne. Men man skal også kunne bevise, at man lever op til reglerne.

En software-virksomhed spurgte mig i den forbindelse ”Hvad betyder det, at vi må behandle persondata, når hensynet til min virksomhed vejer tungere end hensynet til den registrerede person”. Mit svar var, at lige præcis i denne virksomheds tilfælde, må de gerne behandle visse oplysninger om kunder, fordi de oplyser kunderne om, at de behandler oplysningerne og hvad de bruger oplysningerne til.

Men dette svar gælder langt fra alle virksomheder. Ledelsen skal se på, hvilke oplysninger de behandler, og om den registrerede person har en forventning om at blive registreret. Sådan nogle overvejelser skal suppleres af en snak med en jurist der ved noget om persondataret, så ledelsen får et sikkert grundlag at beslutte sig ud fra.

Yousee-episoden

IT-eksperterne får gode dage i 2017. En vigtig del af persondatareglerne handler om cyber-security. Der skal bygges robuste IT-systemer i de danske virksomheder. For det første fordi, virksomheden ikke kan leve med længerevarende nedbrud.

Yousee har i skrivende stund politianmeldt en 51-årig person, der angiveligt har ødelagt et Yousee IT-system. Ødelæggelserne resulterede måske i, at Yousee´s kunder ikke kunne se tv nytårsaften. Det har skabt enormt meget negativ omtale af Yousee, hvilket kan virke uretfærdigt.

På den anden side opbevarer Yousee kreditkort-oplysninger, navn og adresse på kunder. Yousee registrerer hvilke film og tv-udsendelser kunderne bruger, og de kan kigge på, hvilke vaner den enkelte kunde har på internettet. Derudover kan Yousee registrere hvor kundernes mobiltelefoner befinder sig på ethvert tidspunkt. Når man har adgang til så meget information, skal man have meget robuste IT-systemer.

I den anden ende af skalaen, ser vi små online markedspladser. Disse små virksomheder har adgang til færre informationer om kunderne. For eksempel er der en mindre virksomhed, der vil leve af at sælge drinkskuponer til unge der går på bar.

Virksomheden har udviklet en app, som brugeren logger ind på. Dermed får brugeren 3 gratis drinks på udvalgte barer. Virksomheden får informationer om hvor brugeren går i byen, hvad tid brugeren går i byen og en række informationer om brugerens adresse, telefonnummer, navn og så videre.

På sikker grund

Ingen tvivl om at der er god grund til at arbejde for robuste IT-systemer. Det generelle råd til virksomhederne er, at deres systemer skal leve op til en standard der hedder ISO 27002. Det er en slags gylden standard, og mange virksomheder lever op til EU-datareglerne, hvis de lever op til denne standard. Men det er krævende at leve op til standarden, og ikke nødvendigt i alle tilfælde. Ledelsen skal spørge IT-chefen, hvor tæt forretningen er på at sætte flueben ved en ISO 27000 certificering.

Det kan virke som en stor opgave, men det er nødvendigt at prioritere IT-persondata i 2017. Når man lever op til datareglerne, skabes unikke muligheder for at brande sig som et sikkert og troværdigt sted for kunderne at handle.