Annonce
Annonce

Eksperterne har talt: Sådan kan ejerlederen komme i gang med GDPR

Denne artikel er en del af annoncetillæget 'Ejerledelse'. Se alle artikler her​

Af Kasper Nisager

Per Løkken, Partner og ekspert i persondata, PersondataSupport
Skal virksomheden leve op til Persondataforordningen, kræver det involvering af virksomhedens ledere og ejerledere, der kan træffe de nødvendige, strategiske beslutninger. Ledelsen skal tage stilling til, hvad man vil med sin IT-sikkerhed, sin datasikkerhed og politikker. Samtidig skal ledelsen vælge, hvordan beredskabsplanen skal se ud, så deres relevante medarbejdere ved, hvad de skal gøre, hvis virksomheden oplever datalæk.

IT-chefen eller HR-chefen kan ikke alene sikre, at virksomheden lever op til EUs General Data and Protection Regulation (GDPR), fordi processen også kan være forbundet med investeringer såsom placeringen af virksomhedens servere. For GDPR nævner ikke noget om, hvilket sikkerhedsniveau virksomheden skal have. Forordningen kræver, at der foreligger en beredskabsplan, men det er op til den enkelte virksomhed at vurdere, hvordan man bedst muligt sikrer sine data. Her kan placeringen af serverne have en afgørende rolle for, hvor nemt det er for uvedkommende at få adgang til virksomhedens data.

Per Løkken anbefaler ejerledere at tage Persondataforordningen alvorligt, da konsekvenserne for virksomheden kan være katastrofale. Udsigten til 4 % af omsætningen i bøde ved ikke at efterkomme GDPR-lovkravene er ikke det værste onde. Kunderne kan lægge sag an mod virksomheden eller starte en shitstorm, der i sidste instans kan betyde, at nøglen drejes om.

Samtidig bør ledelsen forberede sig på, at kunderne i fremtiden kan have et ønske om at se, hvordan virksomheden opbevarer og sikrer persondata – er virksomheden compliant med kravene for datasikkerhed? Lever virksomheden ikke op til kravene, kan konsekvensen være, at kunden vælger at placere sin ordre et andet sted.

Per Løkken opfordrer desuden lederen til at se Persondataforordningen som en mulighed for at effektivisere arbejdsgangene i virksomheden. Hvor kan man gøre tingene smartere såsom digitalisering af arbejdsprocesser? Forordningen behøver ikke kun være en omkostning for virksomheden, men det kræver, at ledelsen får nedsat arbejdsgrupper med de rigtige mennesker og redskaber til opgaven.

Karina Lind Bertelsen og Karsten Holt, Advokater, Advodan
Ejerlederen bliver nødt til at tage en aktiv rolle i arbejdet med GDPR, hvis man står i spidsen for en mindre virksomhed, der ikke har de menneskelige ressourcer i form af en juridisk afdeling eller compliance-afdeling. Går ejerlederen forrest, vil medarbejderne forstå alvoren i, at virksomheden lever op til Persondataforordningen.

Alvorligt er det for virksomheden, hvis den ikke efterlever lovkravene. Én ting er bødestraffen, virksomheden risikerer, hvilket i sidste ende rammer ejerlederens egen pengepung, men måske værre er det for virksomhedens omdømme. Ydermere er det et spørgsmål om anstændig håndtering af kundernes personfølsomme oplysninger. Virksomheden har også et moralsk ansvar for at passe på de oplysninger, kunderne betror den med. I mange brancher, særligt dem der handler B2C, vil ordentlig håndtering af kunders personoplysninger i stigende grad blive et konkurrenceparameter – og dermed i sidste ende et spørgsmål om overlevelse.

Første skridt er, at ejerlederen sætter sig overordnet ind i reglerne, hvorefter de forskellige opgaver kan uddelegeres i virksomheden. Når uddelegeringen finder sted, er det vigtigt, at ejerlederen kan fortælle medarbejderne, hvorfor Persondataforordningen er vigtig for virksomheden, men også får medarbejderne til at forstå, hvorfor vi har reglerne – hvad de er til for. Reglerne er til for at beskytte vores ret til privatliv, og den måde data flyder i organisationerne

Ejerlederen kan ikke købe sig til compliance gennem bistand alene. Det er virksomheden selv, der skal løfte opgaven, mens eksterne konsulenter kan hjælpe firmaet med at komme hurtigere i mål ved, blandt andet, at udforme de nødvendige politikker, der dog altid skal tage udgangspunkt i virksomhedens organisation og eksisterende processer. Første fase i processen er derfor at skabe et overblik over virksomhedens eksisterende processer. En sådan kortlægning, som virksomheden selv kan foretage, kan også have den positive sidegevinst, at man bliver opmærksom på uhensigtsmæssige forretningsgange – og dermed effektiviseringsmuligheder.

Kira Kolby Christensen, Advokat, Elmer Advokater
Ejerlederen bør udpege én projektleder til arbejdet med Persondataforordningen. Ellers ender han med, at den HR-ansvarlige løber én vej, mens den økonomi-ansvarlige løber en anden vej, fordi de har forskellige behov for dataindsamling og behandler data forskelligt. Her er det vigtigt med en projektleder, som kan samle trådene og tilpasse arbejdsgangene for hele virksomheden.

En ulempe ved at centralisere arbejdet med GDPR er, at man ude i krogene ikke tager procedurerne til sig, fordi man ikke har ejerskab over processen. Derfor er det projektlederens ansvar at spørge ind til medarbejdernes hverdag og arbejde med data. Så ved man, hvad der er operationelt praktisk og kan lade sig gøre. Nogle har eksempelvis behov for, at data bliver opbevaret i kort tid, andre har brug for længere opbevaring. Projektlederen kan forsøge at finde en middelvej, der gavner alle. Er dette ikke muligt, må projektlederen udarbejde datapolitikker ud fra den enkelte afdelings hverdag. Ved at lade compliance projektet tage udspring i virksomheden, sikrer man bedst, at procedurerne, man indfører, er operationelle i forhold det daglige virke og dermed bliver en del af virksomhedens DNA.

Projektlederen skal have pondus, da arbejdet med GDPR handler mere om organisationsvidenskab end jura. Han skal kunne opnå indsigt og forståelse for virksomheden som helhed, og han skal kunne formidle projektet på en måde, så ledelse og medarbejdere opnår indsigt og forståelse for Persondataforordningen. Det er vigtigt, at ejerlederen er en del af processen, da det er ham, der skal investere i de nødvendige tiltag. Hvis ejerlederen er synlig i processen, sender det også et signal til medarbejderne, at projektlederen har fuld opbakning til at udføre tiltagene. Med indsigt i GDPR og forståelse for nødvendigheden i, at organisationen lever op til reglerne, kan ejerlederen desuden gå forrest.

Ejerlederen bør også se fordele i dette complianceprojekt. Man vil gå medarbejdernes arbejdsgange efter i sømmene, hvormed det kan have en afledet Lean-effekt, fordi virksomheden kan blive opmærksom på arbejdsgange, der kan effektiviseres.

Peter Thor Kellmer, Partner & leder af IT-rådgivning, Beierholm
Virksomheder, der endnu ikke er begyndt at arbejde med GDPR, bør tage det alvorligt og komme i gang. Konsekvenserne ved ikke at leve op til Persondataforordningen kan være bøder på mellem 2-4 % af omsætningen, men virksomheden er også sårbar for søgsmål fra både medarbejdere og kunder, hvis man ikke har de rette foranstaltninger om sikkerhed af persondata på plads.

Behandling og opbevaring af folks personfølsomme oplysninger skal foregå på forsvarlig vis. Hvis en medarbejders data bliver lækket til offentligheden, kan ejerlederen risikere at skulle kompensere vedkommende med op til to måneders løn – og det er pr. enkelttilfælde. Dette er noget, fagforeningerne er meget opmærksomme på, og vi vil se stigende krav til datasikkerhed fra fagbevægelsen.

Ejerlederen skal på banen for at investere i opdaterede IT-systemer til at understøtte virksomhedens fremadrettede datavirke. Ejerlederen skal også indføre nye politikker for, hvordan medarbejderne behandler data, fordi GDPR kræver en ændring i adfærden, ligesom der skal gøres op med, hvilke data organisationen bør indsamle, og hvad de skal bruges til.

Hvis medarbejderne fra en tømrervirksomhed er ude hos en kunde, og arkitekttegningerne med personoplysninger ligger frit fremme i bilen, kan de blive stjålet. Persondataforordningen siger intet om, at det må man ikke, men den kræver, at data bliver opbevaret sikkert. Her kunne det være, at arkitekttegningerne skulle over på et IT-system, hvor medarbejderne kun kan få adgang til dem på nogle aflåste telefoner eller tablets.

Ét område som er særligt sårbart er e-mails, hvor der dagligt flyder personfølsomme oplysninger rundt i organisationen såsom CV’er og sundhedsoplysninger, og ingen har styr på, hvor mange steder disse data ligger. Her kan man købe sig til bedre datasikkerhed såsom kryptering af alle e-mails. Så skulle en mail med oplysninger ende et forkert sted, er den krypteret. Virksomhederne skal i gang med et struktureret forløb enten i samarbejde med professionelle eller i netværk med
andre virksomheder f.eks. inden for samme branche. Der er ikke længe til den 25. maj, hvor GDPR træder i kraft.

Denne artikel er en del af annoncetillæget 'Ejerledelse'. Se alle artikler her​