"Vi sprøjter konsulenter ud til kunder, for der er en ekstrem efterspørgsel. De fleste ved ikke helt, hvad det kommer til at betyde. Analyserne viser, at rigtig mange virksomheder ikke aner, hvor deres data er henne."

Sådan lyder ordene fra Per Kogut, adm. direktør i NNIT, når han skal beskrive konsekvenserne af den kommende EU persondataforordning.

Den betyder, at virksomhederne får travlt med at leve op til kravene, inden de nye regler træder i kraft 25. maj til næste år. Og det kan blive kostbart for selskaberne, der ikke lever op til forordningen. Bødestørrelserne går op til 4 pct. af selskabernes globale omsætning eller 150 mio. kr.

Det koster mange millioner for hver eneste virksomhed for at forstå kravene. Det er fint for os, for det er det, som vi lever af.

For NNIT er de kommende ændringer dog i høj grad en forretningsmulighed. Det ligger så at sige i selskabets dna at forholde sig til krav om sporbarhed og datasikkerhed koblet med en forståelse for it-teknologi.

Siden sin grundlæggelse som en del af Novo Nordisk-koncernen har NNIT været vant til at skulle efterleve strenge regulatoriske krav fra danske såvel som internationale lægemiddelmyndigheder.

"Alle de tiltagende myndighedskrav som f.eks. persondataforordningen er jo en kæmpemulighed, hvor vi er ude og rådgive kunder om, hvordan de skal håndtere det. Det koster mange millioner for hver eneste virksomhed for at forstå kravene. Det er fint for os, for det er det, som vi lever af," siger Per Kogut.

Heftige bødestørrelser

I takt med at stort set alle virksomheder – uanset om den driver en e-handelsforretning med salg af sko over nettet eller laver en fitness-app til løbeentusiaster – beskæftiger sig med personlige data i form af enten bankoplysninger, sundhedsoplysninger eller andre persondata, vokser forretningsmulighederne for NNIT.

Det stiller ikke alene krav til virksomheder, men også til en it-leverandør som NNIT. Med potentielle bødestraffe i den størrelsesorden, som den kommende persondataforordning lægger op, kan en fejl være livstruende for it-selskaber, der ikke afdækker risiciene i kontrakten med kunderne.

"Hvis vi lavede en fejl, som vi ikke beskyttede os mod i vores aftale med kunden, og kunden blev dømt, så ville det sige, at vi skulle betale bødekravet. Det kunne betyde, at denne her virksomhed ville lukke. Der ville ikke engang være grund til at tage en retssag, og jeg kunne bare lægge nøglen under måtten på vej ud."

Derfor er håndteringen af akkumulering af risici helt central, fastslår Per Kogut. Det gælder både for NNIT og resten af branchen.

"Hvis jeg skal betragte hele markedet, er der måske nogle, som ikke er så dygtige til at beskrive, hvordan de akkumulere deres risici. Det kan godt være, at du kan overleve, hvis en af væggene i dit hus falder sammen, mens hvis det sker med flere vægge på samme tid, har du et problem."

Afdækning af risici

I NNIT’s seneste årsrapport fylder beskrivelsen af potentielle risici alene tre sider, og selskabet har et fast procedure for alle bud over to mio. kr., der bl.a. tager højde for nye kontrakters juridiske og økonomiske implikationer. For et børsnoteret selskab som NNIT er risikoafdækningen vigtig.

"Hvis vi indgår en milliardaftale med f.eks. Danish Crown og skriver, at vi kører den helt uden risikoafdækning, ville investorerne nok sige, at de ikke har den risikoappetit," siger Per Kogut.

Han forventer, at it-branchen kan se frem til ”mange spændende retssager” i den kommende periode, hvis de juridiske systemer i EU gør, som de har lagt op til i persondataforordningen.

Der er et element af struds i det for mange, og det er der typisk, når der er tale om en ny ting.

"De er jo nødt til at køre nogle prøvesager, og spørgsmålet er, hvem der får lov til at tage de tæsk," lyder det fra NNIT-direktøren.

Han oplever, at der er en del virksomheder, som indtil videre har stukket hovedet i busken og udskudt implementeringen af kravene i persondataforordningen.

"Der er et element af struds i det for mange, og det er der typisk, når der er tale om en ny ting. Man ser sig ikke som værende med i den første gruppe af eksponering. Sekundært koster det penge, og det betyder, at man skal omprioritere sine planer."

Udgiftstung forordning

Udgifterne skal tælles i millioner. Det gælder også for NNIT selv. På trods af at it-selskabet med Per Koguts ord er "vant til at have orden i penalhuset", omfatter persondataforordningen alligevel nye ting, som it-selskabet skal være opmærksom på. Derfor er det også et spørgsmål om at skære fra og sørge for, at man f.eks. ikke opbevarer kopier af data, hvor det ikke er nødvendige.

"Det koster et to-cifret millionbeløb for NNIT, men vi er nødt til at feje for egen dør. Det nytter ikke, at vi siger, at vi er verdensmestre, hvis det sejler hos os selv. Så vi tager vores egen medicin og bliver selvfølgelig færdige, inden forordningen træder i kraft," fastslår Per Kogut.

Det vil Carsten Dilling som ny NNIT-formand 

Klumme: Disrupt din pris og dø