Persondata – et spørgsmål om kultur og tillid

At have en klar strategi for virksomhedens behandling af persondata er fra foråret 2018 ikke længere bare god kutyme. Med den nye persondataforordning er det en lovmæssig pligt. Men det kan være langt mere end det. Hvis man beslutter det og får kulturen med.

Den nye persondataforordning træder i kraft 25. maj 2018 med krav til hvordan alle virksomheder behandler persondata, interne, såvel som kunders og leverandørers. Ikke bare virksomheder af en hvis størrelse, men alle. Så hvordan bliver man som virksomhed klar til de nye regler?

”Man er nødt til at få det tænkt ind i forretningen. Det handler både om hvad data betyder for virksomheden, og om hvordan virksomheden er afhængig af tillid fra kunderne, når det gælder behandling af data,” siger Birgitte Kofod Olsen, partner i Carve Consulting og ph.d. i IT og privacy.

Spørgsmålet om, hvordan virksomheder behandler persondata, går nemlig langt ud over blot overholdelse af lovgivning. Det påvirker en virksomheds forhold til alle interessenter, kunder, medarbejdere leverandører.

”I virkeligheden starter det altså et helt andet sted en compliance. Man sætter sig ned med sin ledelse og finder ud af , hvad betyder persondata for os, og hvad er vores ambitionsniveau i forhold til at skabe effektiv persondatabeskyttelse,” vejleder hun.

”Det er vigtigt at have afklaring i toppen: hvor er det vi vil hen med det her, hvad skal vi bruge det til? Vil vi ”bare” være i compliance, eller vil vi gå videre end det,” siger Birgitte Kofod Olsen.

At gå videre kan f.eks. handle om at blokere for tredjepartscookies på ens hjemmeside, så man ikke overfører vores besøgendes data til nogle af de store datamonopoler som Google, Facebook og Amazon.

Datalandskab og impact
Først når disse drøftelser er foretaget, er det tid til at lære sit datalandskab at kende. Det gør man ved at undersøge og kortlægge virksomhedens brug af data.

”Man bliver nødt til at sætte sig og tegne dataflows, så man får overblik over hvilke opgaver virksomheden løser og hvilke data man bruger til det. Den metode jeg bruger, undersøger hvordan man bruger data til løsning af konkrete opgaver i modsætning til at kigge på en afdelings brug af data i en arbejdsproces eller i et system. Det er min erfaring, at det giver et bedre overblik,” siger Birgitte Kofod Olsen.

Det overblik skal man nemlig bruge til at foretage den nu lovpligtige konsekvensanalyse – eller data protection impact assessment (DPIA), som det så mundret hedder. Med den på plads kan man så begynde på selve implementeringen, hvor man udarbejder politik, procedure, governancestruktur, fordele nye roller osv.

”Noget af det, som virksomhederne slås med, er, at få vendt perspektivet på risiko- og impactanalyserne fra at handle om hvad det betyder for virksomheden til hvordan virksomhedens brug af data har betydning for de mennesker, hvis data det er, vi bruger. Vi skal hen til at arbejde ud fra det punkt, hvor det ikke er et spørgsmål om hvor stor bøden bliver, men et spørgsmål om at det er nogle mennesker der bliver påført en risiko,” siger Birgitte Kofod Olsen.

En ny datakultur
Ifølge Birgitte Kofod Olsen er næste skridt at få etableret databeskyttelse som en del af kulturen. At man selvfølgelig passer på kundernes, medarbejdernes og leverandørernes data. Både, fordi data har værdi – også for forretningen Men også ud fra dataetiske overvejelser.

”Man kan komme langt med træning af medarbejdere og kommunikation, men hvis det virkelig skal blive til noget så skal et etisk forhold til persondata indarbejdes i virksomhedens DNA og forretningsstruktur,” siger Birgitte Kofod Olesen.

Hvor er der en god indikator at rapportere på?

Global Reporting Initiative (GRI) har allerede nu indikatorer, hvor man måler på antal modtagne klager, og på sikkerhedsnedbrud, som kan være hackerangreb eller at en medarbejder har fået uautoriseret adgang til data, eller situationer hvor man ved en fejl har lagt en masse cpr-numre ud på nettet.

Det gode ved de indikatorer er, at de matcher persondataforordningens krav om at underrette datatilsynet og datasubjekter om sikkerhedshændelser. Så derfor vil det ikke være en ekstra ting, man skal måle på.

I den nye GRI-standard,, kommer der i løbet af 2018 nogle nye indikatorer med. Ifølge Birgitte Kofod Olsen vil klager og sikkerhedsfejl givetvis også være med , men der vil sikkert blive tilføjet indikatorer på antal person, der er trænet i databeskyttelse, og antallet af screenede af leverandører i samme.

Tag nu en energivirksomhed, som Carve Consulting har arbejdet med. Her har de talt med medarbejderne om, hvordan de skulle passe på data, og f.eks. peget på, at når man efterlader en arbejdsipad i bilen, så er det ikke virksomhedens men kundernes data man efterlader. Og at de data ikke tilhører virksomheden, men bare er lånt af kunderne

”Det, at vi skal passe på data, fordi de er lånt og tilhører nogle andre, udløser en bevidsthed om, at man skal være påpasselig med data. Det er den kultur, man skalhave opbygget på persondataområdet,” siger Birgitte Kofod Olsen.

Trusler og muligheder
Risikoen ved ikke at etablere sådan en kultur er store, men det er mulighederne ved at gøre det heldigvis også.

Birgitte Kofod Olsen beskriver risikoen som tredelt: Der er risikoen, man påfører sine kunder, der er omdømmerisikoen for virksomheden, og der er risikoen for klager eller erstatningskrav.

Sidstnævnte kan, afhængigt af hvilke regler man overtræder, være på mellem 10 millioner euro eller to procent af omsætningen eller 20 millioner euro eller op til fire procent af omsætningen. Og det er jo også en slags penge.

Omdømmerisikoen kan også blive afregnet kontant, hvis det udvikler sig til at kunder vælger din virksomhed fra, hvis du ikke kan vise at du håndterer persondata ordentligt.

”De ret betragtelige beløb afspejler jo så også konsekvensen af ikke at komme i hus med at leve op til persondataforordningen. Så må virksomheden leve med det risikobillede. Alt tyder på, at kunder bliver mere og mere bevidste om at data jo er deres. Så det handler om, at hvis kunderne skal blive ved med at bevare tilliden til ens virksomhed, og man skal bevare sin konkurrenceevne, så bliver man nødt til at gøre noget alvorligt ved det her,” siger Birgitte Kofod Olsen.

Region Sjælland

Sponseret

Grønne hospitaler hvor starter ansvaret?

Kan man egentlig være et grønt hospital i en verden i forandring?

CSR.dk

Produktionsdanmark får nu eget fagmedie

Den 1. februar går det nye onlinemedie produktion.dk i luften. Det bliver det eneste dedikerede kommercielle nichemedie, der fokuserer på produktionsteknologi og -kompetence på tværs af alle brancher.

Region Sjælland

Sponseret

Grønne hospitaler hvor starter ansvaret?

CSR.dk

Produktionsdanmark får nu eget fagmedie

Relateret indhold

Social

25.02.2026Give Steel A/S

Sponseret

Theis får svejsetraileren til at rulle – og åbner nye døre

Mød Theis Buhl – smed og underviser hos Give Steel, som hver uge kører ud med svejsetraileren til danske fængsler. Her får indsatte mulighed for at lære at svejse, opnå certifikater og dermed øge deres chancer for job - og et bedre udgangspunkt for et liv uden kriminalitet efter afsoning.

Social

20.02.2026Give Steel A/S

Sponseret

NGO’er går sammen om at åbne dørene til arbejdsmarkedet

Mens danske virksomheder mangler arbejdskraft, står tusindvis udenfor arbejdsmarkedet. GROW og Code of Care vil gøre inklusion til en del af løsningen.

Social

19.02.2026CSR.dk

Klimaeksperter: Europa skal ruste sig til op mod 3 graders opvarmning

Kontinentet betaler allerede prisen for manglende forberedelse, lyder det fra EU’s videnskabelige klimaråd, der kalder den nuværende indsats utilstrækkelig.

Social

17.02.2026CSR.dk

Europa-Parlamentet afviser kædeansvar trods bred enighed om problemer i byggebranchen

Et forslag om at begrænse lange entreprenørkæder og indføre ansvar for hele kæden faldt til jorden i Europa-Parlamentet, selv om både politikere og organisationer erkender, at arbejdstagernes rettigheder ikke bliver håndhævet tilstrækkeligt.

Social

Søstrene Grene giver rekorddonation på to millioner kroner til PlanBørnefonden

13.02.2026CSR.dk

Social

12.02.2026Give Steel A/S

Sponseret

Henriette får mennesker til at lykkes – på jobbet og i livet

Mød Henriette Leth – CSR-vejleder og omsorgsgen hos Give Steel. Hun følger virksomhedens sårbare medarbejdere tæt og hjælper dem med at få struktur, kompetencer og mulighed for at lykkes både på arbejde og i livet.

Social

12.02.2026CSR.dk

Nye tal: Social dumping fylder fortsat massivt i byggeriet

Skattestyrelsen har siden 2020 gennemført knap 5.000 kontroller i bygge- og anlægsbranchen. I næsten 2.200 sager blev der fundet fejl. Ifølge skatteministeren peger tallene på organiseret kriminalitet og et pilråddent arbejdsmiljø.

Social

12.02.2026Schneider Electric

Sponseret

Nyt partnerskab i international motorsport giver performance og præcision et nyt gear

Schneider Electric indgår partnerskab med McLaren Racing om energiteknologi til motorsportens mest performancekritiske miljøer.

Hold dig opdateret med CSR.dk

Tilmeld dig nyhedsbrevet og følg med i alt som rører sig indenfor ESG og bæredygtig udvikling Nyhedsbrevet kommer kun to gange ugentligt. Herudover sender vi dig relevante temaer og spændede events.

Se flere temaer

Tema: Scope 3 som god business

Tema: ESG - Uddannelse og kompetenceudvikling 2025

Tema: Trivsel på arbejdspladsen

Tema: Biodiversitet og natur

Tema: Frivillig rapportering - hvad kræver det?

Tema: Bæredygtighed og digitalisering

Events

Se alle

Dansk Standard

Kursus

Intern audit af et miljø- og kvalitetsledelsessystem

Få redskaber til at planlægge og udføre intern audit af din organisations ledelsessystem indenfor kvalitet og/eller miljø! På kurset får du styrket din forståelse af audit som værktøj til evaluering og forbedring af ledelsessystemet samt trænet din grundlæggende værktøjskasse som auditor.

Dato

03.03.2026

Sted

Dansk Standard, Nordhavn

DNV Business Assurance Denmark

Kursus

NIS2 kursus målrettet offentlig forvaltning, stat, regioner og kommuner

Med NIS2-direktivet følger nye krav, der skal sikre et højt niveau af cybersikkerhed på tværs af EU-landene, og med den danske lovimplementering vil også den offentlige sektor skulle leve op til kravene.

Dato

03.03.2026

Sted

Aarhus DK

UN Global Compact Network Denmark

Event

HELLO! Circularity

Welcome to our next HELLO! networking event, where we bring UN Global Compact participant companies together to explore circularity and the circular economy from a business perspective.

Dato

03.03.2026

Tid

08:30

Sted

Halmtorvet 15, 1700 København V, Denmark

Beierholm

Kursus

Sustainability Management i praksis - København maj 2026

Sustainability Management i praksis er en eksklusiv, konkret og handlingsorienteret uddannelse til dig, der har ansvar for ESG og bæredygtighed. Du får overblik og indblik, der gør dig klar til at sætte mål og eksekvere på dem med det samme.

Dato

03.03.2026

Tid

09:00

Sted

København

Dansk Standard

Kursus

Arbejdsmiljøledelse - ISO 45001 Diplomkursus

På dette to-dages kursus præsenteres du for indholdet i ISO 45001:2023 standarden og lærer samtidig, hvordan de enkelte krav tolkes og anvendes i praksis.

Dato

04.03.2026

Sted

Dansk Standard, Nordhavn

Bureau Veritas

Kursus

ISO 45001 Intern Auditor

På ISO 45001 Intern Auditor træner du auditeringsteknikker og -værktøjer med fokus på den interne auditors rolle og funktion, mens du får indblik i, hvordan du udfører intern audit af et arbejdsmiljøledelsessystem i henhold til ISO 45001.

Dato

04.03.2026

Sted

Vejle

Udgiver

Horisont Gruppen a/s

Strandlodsvej 44

2300 København S

Telefon: 53506060

www.horisontgruppen.dk

Indhold

Environment