Weekly News

Glem regnearket når det handler om compliance

En digital compliance manager er oplagt for dig, der ikke vil komme på kant med EU’s nye persondataforordning, lyder det fra to eksperter.

Langt de fleste virksomheder ligger jo inde med persondata på medarbejdere og kunder, og så gælder reglerne altså.

Fra den 25. maj 2018 anvendes EU’s databeskyttelsesforordning i hele EU. Dermed skærpes kravene til de virksomheder, organisationer og offentlige myndigheder, der håndterer personoplysninger.

Forordningen fastlægger kort fortalt de formål, som persondata må anvendes til, og opstiller regler for hvordan, de håndteres. Samtidig stiller den krav om, at virksomheder i langt de fleste tilfælde skal udarbejde en fortegnelse over deres behandling af personoplysninger – også selvom det eksempelvis blot drejer sig om normal personaleadministration.

For mange virksomheder kan opgaven med at overholde kravene i databeskyttelsesforordningen, imidlertid være svær at komme i gang med – særligt fordi personoplysninger ikke bare handler om helbred, politisk overbevisning, seksuelle forhold og lignende, men faktisk omfatter alle de oplysninger, der kan henføres til en person, som f.eks. adresse, telefonnummer og e-mail.

Den problematik kender Nis Peter Dall, der er advokat hos Bird and Bird Advokater og forfatter til en håndbog om persondataforordningen, kun alt for godt. Spørger man ham om, hvor langt danske virksomheder er kommet med forberedelserne, lyder han ikke alt for optimistisk.

– Min fornemmelse er, at de fleste først er gået i gang med forberedelserne i efteråret, hvilket nok er lige sent nok. Men der er desværre også nogen, der slet ikke er startet endnu – typisk fordi de ikke tror, at de bliver berørt af forordningen. Men det er efter min bedste vurdering et fejlskøn. Langt de fleste virksomheder ligger jo inde med persondata på medarbejdere og kunder, og så gælder reglerne altså.

For at Nis Peter Dalls klienter ikke skal få ørerne i EU-maskinen, anbefaler han, at de gør brug af et hjælpeværktøj i form af en såkaldt Compliance Manager. Det er et administrativt system, der hjælper virksomheden gennem compliance-processen ved f.eks. at dele opgaven op i overskuelige del­elementer, som derefter kan løses en efter en. Og da visse løsninger er cloud-baserede, er de lette at skalere, og samtidigt en overkommelig investering. En compliance manager gør det kort sagt lettere at opnå – og opretholde – compliance. Compliance er nemlig ikke en afsluttet proces, understreger Nis Peter Dall.

– I og med at de fleste virksomheder udvikler sig over tid, vil de også få nye data ind, som der skal redegøres for og tages stilling til. Det kan f.eks. være de data, der følger med ansættelsen af nye medarbejdere, eller hvis man begynder at udsende et nyhedsbrev. Det har alt sammen med persondatabehandling at gøre, og derfor skal man også være opmærksom på reglerne fremadrettet.

Den pointe er Jacob Naur, der er advokat hos Hejm Advokater og persondataspecialist, helt enig i. Han anbefaler også, at SMV’erne går sammen i klynger om at finde brancheløsninger og etablerer erfagrupper, hvor man løbende kan udveksle erfaringer. Og så maner både han og Nis Peter Dall til besindighed.

– Compliance er på den ene side et vigtigt område, som man skal sørge for at få styr på. På den anden side skal man heller ikke gå i panik over de enormt store bøder på op mod 20 mio. euro, der trues med. Min fornemmelse er, at Datatilsynet i første omgang vil give et påbud afhængigt af, om en eventuel overtrædelse af reglerne er sket i god eller ond tro. Men hvad der sker efterfølgende, når forordningen har levet nogle år er ikke godt at vide, og derfor skal man selvfølgelig se at få styr på sine persondata, siger Jacob Naur.

Fakta

Der findes forskellige compliance managers på markedet, hvoraf visse er udstyret med dashboards, der gør det muligt hele tiden at holde øje med fremdrift og status på de enkelte dataområder.

Del

Journalist

Frank Ulstrup

Andre artikler