Nyhed. Om under to måneder træder EU’s nye persondataforordning i kraft, men mange danske virksomheder og kommuner er stadig ikke klar, viser en undersøgelse fra FSR og IDA.
”Når hver 4. it-ansvarlige ikke kan svare klart ja til, at der på nuværende tidspunkt er en klar ansvars- og rollefordeling for, hvordan de afprøver, vurderer og evaluerer sikkerhedsniveauet på deres arbejdsplads, kan det godt blive op ad bakke det næste stykke tid. Persondataforordningen er ikke kommet ud af det blå, så jeg kan godt frygte, at der flere steder fortsat hersker en kultur om, at der først får konsekvenser, hvis det går galt med behandlingen af personfølsom data, og at det efterfølgende bliver opdaget. Det bliver anderledes nu, og derfor bør undersøgelsens resultater, give panderynker hos såvel politikere som virksomhedsledere,” siger Kåre Løvgren formand for IDA-IT.
Undersøgelsen er baseret på svar fra 113 it-ansvarlige og 555 der arbejder med persondata.
Mange virksomheder (58%) har ifølge undersøgelsen en standard databehandleraftale, som anvendes når andre virksomheder behandler persondata på vegne af virksomheden. Men samtidig angiver hver tredje med ansvar for it, at de ikke eller kun i mindre grad har styr på underleverandørernes overholdelse af databeskyttelsesreglerne.
Undersøgelsen viser også, at under halvdelen (48%) af de it-ansvarlige i landets virksomheder og kommuner har en klar procedure for, hvordan brud på datasikkerheden håndteres i organisationen, og det efterlader alt for mange offentlige og private virksomheder i en sårbar situation, hvor de risikerer, at skulle betale store bøder. Men en bøderegn styrker ikke nødvendigvis persondatasikkerheden, mener Brian Adrian Wessel, der er faglig direktør i FSR – danske revisorer.
”Vi skal ikke straffe de mange virksomheder, der arbejder seriøst med at leve op til forordningens krav. Virksomhederne skal naturligvis behandle persondata forsvarligt, men vi må også se i øjnene, at det er en meget omfangsrig øvelse, der er i gang. Men vi er nødt til at forholde os til, at der er en gruppe virksomheder og kommuner, der åbenbart mangler motivation til at få styr på reglerne. De virksomheder har behov for et velment skub til at komme i mål med tingene. Her kunne det for eksempel være en ide med bøder, der er betingede af at virksomheden inden for en kort tidshorisont opfylder de vigtigste krav, herunder særligt på områder, hvor der er stor risiko for brud på datasikkerhed,” siger Brian Adrian Wessel.