Lad os slå det fast med det samme: EU’s Dataforordning er en god nyhed for dataetikken og dermed for os som borgere og forbrugere. Den skal respekteres – ikke frygtes. Danske virksomheder efterlyser imidlertid et dansk søkort for sikker sejlads. Men der findes pejlemærker, som kan anvendes til en midlertidig kurs, indtil de danske myndigheder får tegnet et kort.

I Danmark har vi en stolt tradition for beskyttelse af persondata i form af persondataloven, men EU's persondataforordning stiller nye og skærpede krav til både permission-indsamlinger, sletning af data og ikke mindst dokumentation for overholdelse af forordningen.

IT-Branchens administrerende direktør Birgitte Hass rejser i IT-Watch kritik af den forsinkede betænkning, altså den danske fortolkning af EU’s nye persondataforordning som Justitsministeriet skulle have afgivet i april måned i år. Betænkningen er central, fordi den tolker den omfattende forordning i en dansk kontekst. En kærkommen tolkning, fordi forordningen åbner for nationale fortolkninger af bestemmelserne og generelt set rummer mange formuleringer, der ikke opstiller klare retningslinjer for, hvordan og hvornår virksomhederne opfylder de nye krav.

Ser frem til fortolkning

Ligesom Birgitte Hass ser vi også frem til Justitsministeriets samlede tolkning af forordningen. Eksempelvis mangler der helt konkret stillingtagen til håndteringen af grundlæggende oplysninger som navn, adresse, telefonnumre, mail- og IP-adresser samt generelle kundesegmenter. Altså kontaktdata til potentielle kunder, som bruges i tusindvis af danske virksomheder, og som der derfor er behov for retningslinjer for. Vil disse data også i fremtiden kunne indsamles, behandles og udveksles imellem virksomhederne i samfundets interesse, hvis det er oplyst ved første henvendelse, men uden et specifikt samtykke?

Vi følger som data- og analysehus udviklingen af forordningen tæt og har blandt andet været i Bruxelles, hvor vi deltog i høringen – trialogen i EU-jargon – om tilblivelsen. Derfor føler vi os også klædt fornuftigt på til de nye bestemmelser, der er en del af hverdagen fra maj 2018. Det har blandt andet fået os til internt at udvikle nye databehandleraftaler, og nye procedurer for opbevaring og udveksling af data med vores kunder, der skal sikre, at data ikke opbevares længere end nødvendigt samt at opbevaring og udveksling foregår på de rette sikkerhedsniveauer.

Ikke alle har kompetencerne

Alt det er en hygiejnefaktor for professionelle dataleverandører, men langt fra alle virksomheder har de interne kompetencer eller muligheden for at prioritere tilpasningen på samme vis. En undersøgelse fra april måned viser da også, at kun 40% af de danske små og mellemstore virksomheder har en plan for processen.

Vi kan på samme måde berette om usikkerhed og rådvildhed hos vores kunder. Private som offentlige. De savner klare koordinater og kyndig vejledning i, hvordan de kommer i gang med at udvikle og tilpasse deres processer og it-systemer, så de kan leve op til forordningens skrifter og undgå, at forretning og renommé sejler på grund. Men der er ingen grund til at sidde handlingslammet i denne ventetid, for der er gode muligheder for at sætte gang i dele af arbejdet.

Vi anbefaler som data- og analyse i første omgang fokus på særligt tre områder:

1. Sørg for, at den opbevarede persondata er relevant og tilstrækkeligt beskyttet: Få en opdateringsprocedure for data, hvis virksomheden ikke allerede har det og sørg for, at de data, der indsamles bliver brugt fornuftigt. Og gennemgå så jeres sikkerhedsprocedurer og kontrakter med hostingfirmaer, for serverne med persondata skal stå i EU og det skal de kunne dokumentere.

2. Tilpas og indhent permissions/samtykke efter de nye retningslinjer, få evt. en markedsføringsjurist til at hjælpe jer. De nye regler for et aktivt og utvetydigt samtykke betyder nemlig, at din nuværende procedure med stor sikkerhed skal justeres.

3. Fokuser på transparens over for egne kunder/borgere om brugen af kundens/borgerens data: Hvis kunden ved, hvad data bliver brugt til, er de mere trygge ved at afgive data.

Der er ingen grund til at frygte forordningen, men der er ingen tvivl om, at den pålægger virksomhederne en opgave, for at leve op til de nye bestemmelser, som ikke kan løses på en enkel eftermiddag. Men med rettidigt omhu og ved at bide opgaven over i mindre bidder i det næste års tid, har jeg fuld fortrøstning til, at vi kommer sikkert i havn inden de nye bestemmelser træder i kraft.

At data i fremtiden er noget, virksomheder låner af deres kunder, indvarsler en helt nye tilgang til persondata til fordel for dataforbrugeren og borgeren i samfundet.