blog

  • data, databehandling, gdpr, innovation lab, anna lykke

Vi er alle i samme databåd, nu skal vi blot sætte sejl

Forfatter: 
Anna Lykke Lundholm-Andersen
Category: 
ILab Notes
- et kort oprids af databeskyttelse og compliance-projektet forude

EU’s persondataforordning, GDPR, har i en rum tid været på alles læber, og er særlig aktuel nu, hvor 25. Maj nærmer sig med hastige skridt. De fleste har hørt rigeligt om de store bødekrav for non-compliance og frygter det arbejde, som ligger foran dem. Måske især fordi det er omgærdet med en del mystik. Hvad er det egentlig man må, og hvad må man ikke? Skal vi til at slette alle vores kontaktoplysninger på samarbejdspartnere og kunder, hvis vi ikke har samtykke fra dem? Kan vi ikke længere sende et CPR-nr. på en medarbejder fra én afdeling til en anden, og hvad med sociale medier?

Derfor skal vi stramme op på databeskyttelse

Vi starter lige fra begyndelsen, og hvad der egentlig er det væsentlige: hvorfor skal vi begynde at kærre os om databeskyttelse? Helt basalt handler det om, at beskytte individets rettigheder. Privatliv er en menneskeret. Persondata vil altid være behæftet med risici for individet, og det er af den årsag, at de skal behandles varsomt. For at tage et eksempel og en konkret kundecase er Comply by Innovation Lab i gang med et compliance-forløb for et større dansk dagblad. For nogle kan det synes en banal personoplysning, at man abonnerer på en avis, men for andre kan det have fatale konsekvenser, skulle informationerne komme i de forkerte hænder. Nu lever vi i fredelige tider i Danmark, men man skal ikke mere end en generation tilbage, for at finde eksempler på illegale nyhedsbreve, som kunne indikere ulovlig aktivitet. Ligesom det kan sige meget om dig som person, hvad du modtager og abonnerer på og altså kompromittere dig som privatperson. 

Persondata, der indsamles i virksomheder, og i det offentlige, fortæller enormt meget om dig, og man skal som organisation være sig alvoren og ansvaret bevidst. Ikke blot for sine borgeres og kunders skyld, men bestemt også for sin egen. For selvom jeg personligt mener, at bøder er et ringe incitament, kan 4% af global omsætning mærkes på bundlinjen og være dét der motiverer til en omstilling. Hvad værre er, er den tillid du mister, hvis dine kunder, forbrugere og borgere oplever, at du behandler deres personlige informationer lemfældigt. Dine kunder kan for eksempel være nødsaget til at fravælge dig som leverandør, hvis du ikke lever op til kravene.

Hvordan håndterer vi selv reglerne

For at gribe i egen barm, har vi i Innovation Lab lavet et eksempel fra vores hverdag, der som en hvilken som helst anden almindelig, velmenende og ordentlig dansk organisation, kan have af udfordringer med GDPR. Vi har taget udgangspunkt i marketing som er det eksempel, der står tydeligst frem, og som vi ser mange organisationer bakse med:

1. Vi indsamler data på jer(!), I har sendt os en mail, og dermed givet os jeres mailadresse i forbindelse med et event, vi har afholdt. Eller I har været inde på en af vores digitale platforme og meldt jer til. 2. De oplysninger gemmer vi, indtil I aktivt melder jer fra. 3. Og vi logger – altså gemmer -  samtykket. 4. Men vi har endnu ikke en databehandleraftale med den leverandør, som administrerer systemet hvor oplysningerne bliver gemt. Det er der hverken noget nyt eller odiøst i. Den har man simpelthen bare ikke været opmærksom på skulle gøres anderledes. 5. Vi har heller ikke oplyst jer om, at der sker en overførsel af jeres data til et ikke-EU-land. Det er der ligeledes heller ikke noget odiøst i, men det er sådanne situationer, der nu skal være hundrede procent på plads og skabt en procedure for. Særligt hvis man som virksomhed overfører data til et usikkert tredjeland (ikke-EU), som f.eks. udvikler apps eller programmer eller hoster data. Det er ikke tilfældet her, men som virksomhed skal forholdsreglerne være på plads, før at man kan føle sig sikker på, at uvedkommende ikke får adgang til dine og dine kunders oplysninger. Der skal altså laves en kortlægning og påbegyndes en dialog med leverandører, så man som dataansvarlig eller behandler ved præcis hvad der sker med de personhenførbare data. 

En omstilling - men med et klart formål

Men man skal ikke lade sig skræmme af compliance-projektet. Det er dog bedre at komme i gang hellere før end senere. Der ligger nemlig et stort stykke arbejde i at dokumentere alle persondatabehandlende processer i organisationen. Dokumentationen er med til at skabe overblik, og danner således grobund for den analyse der skaber grobund for beslutninger om hvilke processer, der skal revideres for at beskytte data på ordentlig og compliant vis. I den proces skal der træffes beslutninger om, hvad der skal ske fremadrettet for netop denne behandlingsproces. Der skal gennemgås vilkår for aftaler og nogle systemer / leverandører skal muligvis sløjfes og andre indføres.  Organisationen kommer på denne vis til at kende egne datastrømme til punkt og prikke, kende formålet med opbevaringen og behandlingen af data, og får ligeledes nemmere ved at følge nye procedurer. Når det så er sagt, er der alt mulig grund til at mindske datastrømme og foretage sikker opbevaring, da vi ser, at læk oftest forekommer indefra organisationer selv.

Ejerskab er nøglen 

Det er essentielt at have fokus på, at de nye procedurer siver hele vejen ned igennem organisationen. Man er aldrig stærkere end sit svageste led, og det er nu engang den helt almindelige medarbejder, som sidder med håndteringen af persondata til daglig. Men man skal huske, at der skal være proportionalitet og fornuft med hele vejen. Man kan spørge; hvordan ville jeg selv ønske, at mine egne personlige oplysninger blev håndteret? Forordningen er ikke til for at spænde ben for sunde, ordentlige forretninger. Den er til for, at vi alle kan føle os sikre på og trygge ved, at oplysninger om os bliver behandlet forsvarligt. Databeskyttelse skal således indføres – fordi det kræves ved lov – men i særdeleshed også fordi det skaber en sikrere verden for os alle sammen. Vi skal huske, at selvom vi alle sidder i rollen som databehandler eller dataansvarlig er vi, i ligeså høj grad, alle datasubjekter, hvis data skal beskyttes. Det handler i første omgang om at tilføje det fokus og ændre en kultur, hvor dét element af dataanvendelse har været en overset størrelse. Databeskyttelse skal indføres som en række gode hygiejneprincipper, der sidder ligeså meget på rygraden som at spritte hænder, inden man går i operationsstuen.