Mindre end 500 dage til EU’s dataforordning og alt for mange virksomheder halter bagefter

København, 1. februar 2017

Den 25. maj 2018 træder EU’s databeskyttelsesforordning i kraft. Fra den dag skal virksomheder kunne bevise, at de er i stand til at beskytte personoplysninger, ligesom de er forpligtet til at udlevere informationer til de borgere, der beder om det. Det betyder store ændringer i it-systemer og processer. Med mindre end 500 dage til forordningens ikrafttrædelse er der stadig lang vej at gå. Det viser nye tal fra Danmarks Statistik.

- EU’s nye regler for databeskyttelse er en såkaldt forordning, hvilket betyder, at den automatisk træder i kraft i alle EU-lande. Dermed har vi altså pligt til at indrette den danske lovgivning efter forordningens bestemmelser. Det er ikke et valg, vi har, siger leder af Deloittes cyber-enhed, Kim Schlyter.

Med de nye regler får unionens borgere en helt anden databeskyttelse end tidligere, vurderer Kim Schlyter:

- Virksomheder skal fremover gøre langt mere for at sikre de data, de har indsamlet fra deres kunder, og de skal samtidig kunne bevise over for myndighederne, at de har styr på tingene. Det betyder bl.a., at de skal klassificere data, foretage løbende risikovurderinger og samtidig kunne dokumentere skriftligt, at data er i sikre hænder, siger han.

Samtidig skal mange virksomheder også øve sig i at slette data, hvilket er langt sværere, end det umiddelbart lyder.

- Enhver borger har faktisk ret til at få oplyst, hvad virksomheden har indsamlet af data om netop ham eller hende, og man har også ret til at få disse data slettet, såfremt man ønsker det. Det er noget, som typisk volder store problemer for de virksomheder, som ikke har formået at have ekstremt god orden i penalhuset, siger Kim Schlyter.

Mange virksomheder er allerede gået i gang med at forberede sig til de nye regler. Alligevel halter en stor del af erhvervslivet efter, viser nye tal. Bekymrende, mener Kim Schlyter:

- Ifølge en undersøgelse fra Danmarks Statistik har hele 40 pct. af de større danske virksomheder endnu ikke påbegyndt deres risikoanalyse. 49 pct. mangler stadig at gå i gang med den dataklassifikation, der skal identificere personoplysningerne. Det vidner om et betydeligt efterslæb på tværs af erhvervslivet. Det er absolut nu, man skal se at gå i gang. 

Ifølge EU kan manglende overholdelse af de nye databeskyttelsesregler i værste fald resultere i bøder på op til 20 mio. euro.

Mere info:

Læs mere om databeskyttelsesreformen her: http://www.dbreform.dk/

Tallene stammer fra rapporten "IT-anvendelse i virksomheder" udgivet af Danmarks Statistik.