GDPR blev for mange virksomheder startskuddet til at forholde sig til rollen som databehandler. Men siden det gode arbejde blev påbegyndt, har mange virksomheder ikke fået bygget videre på de første spæde skridt mod overholdelse af GDPR eller databehandleraftaler – og det risikerer at koste både bøder og kunder.
I foråret 2018 begyndte hele det danske erhvervsliv at tale persondata og compliance. EU’s GDPR (Persondataforordningen) nærmede sig med hastige skridt, og mange virksomheder fik pludseligt travlt med at forholde sig til persondatasikkerhed – og hvordan man agerer som databehandler.
For nogle virksomheder skulle organisatoriske og tekniske sikringsforanstaltninger finpudses og opdateres, så de stod mål med de nye krav. Men i rigtig mange virksomheder – særligt SMV’erne – blev det anledningen til, at man for alvor forholdt sig til persondatasikkerhed.
Persondatasikkerhed kræver, at man konsekvent afsætter tid og ressourcer til at sikre, at virksomheden agerer i overensstemmelse med de nye regelsæt – og det kan være svært i en mindre organisation, som mandskabsmæssigt ikke helt er gearet til at påtage sig den obligatoriske opgave.
Nu er GDPR allerede 1 år gammel, og derfor er det relevant for virksomheder at spørge sig selv – har vi fået bygget videre på vores gode GDPR-arbejde fra foråret 2018?
Over 5.000 registrerede GDPR-brud i år 1
For rigtig mange virksomheder vil svaret være ’nej’. Måske nåede man aldrig rigtigt i mål, inden GDPR indtraf – eller måske har man gjort sit bedste for at glemme, efter den værste mediestorm lagde sig.
Alene i det første år med GDPR har Datatilsynet registreret over 5.000 tilfælde af brud på persondatasikkerheden. Og det er kun de brud, der er blevet indberettet – det er uvist, hvor mange brud der ikke anmeldes eller opdages. Overtrædelser af persondataloven kan kaste store bødestraffe af sig, men det er næsten det mindste problem.
Compliance er vigtigt for alles skyld
Har man som virksomhed endnu ikke helt styr på sin persondatabehandling, er det ikke kun kontrolbesøg fra Datatilsynet, man skal ligge søvnløs over. Virksomheden skal snarere frygte, at kunder og samarbejdspartnere henvender sig med mistanke om datalæk – eller ønsket om at se en erklæring om beskyttelse af persondata.
Det kan blive særligt aktuelt, hvis man samarbejder med større eller offentlige virksomheder, som for alt i verden skal have sit på det rene. Rod i persondatabehandlingen kan derfor blive genvejen til en afbrydelse af samarbejdet – og potentielt en indberetning til Datatilsynet. Den slags skaber med rette usikkerhed i en virksomhed.
Plej GDPR-arbejdet og eliminér usikkerhed
Som virksomhed skal man være klædt på til at stå skoleret, og det kræver, man kigger sin persondatabehandling efter i sømmene. Også selvom man ikke umiddelbart har ressourcerne til det.
Arbejdet med persondata skal integreres i organisationen gennem årshjul, handlingsplaner og kontroller, der sikrer, at man internt følger op på procedurerne. På sigt sparer det virksomheden både tid og penge.
I Grant Thornton afholder vi med stor succes årlige workshops for SMV’er, der hjælper virksomhederne til at holde sig opdateret, eliminere usikkerhed og til at blive klar til erklæringer eller besøg fra samarbejdspartnere.
Trænger din virksomhed til at få fulgt op på GDPR-arbejdet og dyrke persondatabehandlingen? Så kontakt os for en snak om netop din virksomheds situation.
