Persondata – et spørgsmål om kultur og tillid

At have en klar strategi for virksomhedens behandling af persondata er fra foråret 2018 ikke længere bare god kutyme. Med den nye persondataforordning er det en lovmæssig pligt. Men det kan være langt mere end det. Hvis man beslutter det og får kulturen med.

13.10.2017

Eva Harpøth Skjoldborg og Alexander Melchior, CSR.dk

Den nye persondataforordning træder i kraft 25. maj 2018 med krav til hvordan alle virksomheder behandler persondata, interne, såvel som kunders og leverandørers. Ikke bare virksomheder af en hvis størrelse, men alle. Så hvordan bliver man som virksomhed klar til de nye regler?

”Man er nødt til at få det tænkt ind i forretningen. Det handler både om hvad data betyder for virksomheden, og om hvordan virksomheden er afhængig af tillid fra kunderne, når det gælder behandling af data,” siger Birgitte Kofod Olsen, partner i Carve Consulting og ph.d. i IT og privacy.

Spørgsmålet om, hvordan virksomheder behandler persondata, går nemlig langt ud over blot overholdelse af lovgivning. Det påvirker en virksomheds forhold til alle interessenter, kunder, medarbejdere leverandører.

”I virkeligheden starter det altså et helt andet sted en compliance. Man sætter sig ned med sin ledelse og finder ud af , hvad betyder persondata for os, og hvad er vores ambitionsniveau i forhold til at skabe effektiv persondatabeskyttelse,” vejleder hun.

”Det er vigtigt at have afklaring i toppen: hvor er det vi vil hen med det her, hvad skal vi bruge det til? Vil vi ”bare” være i compliance, eller vil vi gå videre end det,”  siger Birgitte Kofod Olsen.

At gå videre kan f.eks. handle om at blokere for tredjepartscookies på ens hjemmeside, så man ikke overfører vores besøgendes data til nogle af de store datamonopoler som Google, Facebook og Amazon.

Datalandskab og impact
Først når disse drøftelser er foretaget, er det tid til at lære sit datalandskab at kende. Det gør man ved at undersøge og kortlægge virksomhedens brug af data.

”Man bliver nødt til at sætte sig og tegne dataflows, så man får overblik over hvilke opgaver virksomheden løser og hvilke data man bruger til det. Den metode jeg bruger, undersøger hvordan man bruger data til løsning af konkrete opgaver i modsætning til at kigge på en afdelings brug af data i en arbejdsproces eller i et system. Det er min erfaring, at det giver et bedre overblik,” siger Birgitte Kofod Olsen.  

Det overblik skal man nemlig bruge til at foretage den nu lovpligtige konsekvensanalyse – eller data protection impact assessment (DPIA), som det så mundret hedder. Med den på plads kan man så begynde på selve implementeringen, hvor man udarbejder  politik, procedure, governancestruktur, fordele nye roller osv.

”Noget af det, som virksomhederne slås med, er, at få vendt perspektivet på risiko- og impactanalyserne fra at handle om hvad det betyder for virksomheden til hvordan virksomhedens brug af data har betydning for de mennesker, hvis data det er, vi bruger. Vi skal hen til at arbejde ud fra det punkt, hvor det ikke er et spørgsmål om hvor stor bøden bliver, men et spørgsmål om at det er nogle mennesker der bliver påført en risiko,” siger Birgitte Kofod Olsen.

En ny datakultur
Ifølge Birgitte Kofod Olsen er næste skridt at få etableret databeskyttelse som en del af kulturen. At man selvfølgelig passer på kundernes, medarbejdernes og leverandørernes data. Både, fordi data har værdi – også for forretningen Men også ud fra dataetiske overvejelser.

”Man kan komme langt med træning af medarbejdere og kommunikation, men hvis det virkelig skal blive til noget så skal et etisk forhold til persondata indarbejdes i virksomhedens DNA og forretningsstruktur,” siger Birgitte Kofod Olesen.

Hvor er der en god indikator at rapportere på?

Global Reporting Initiative (GRI) har allerede nu indikatorer, hvor man måler på antal modtagne klager, og på sikkerhedsnedbrud, som kan være hackerangreb eller at en medarbejder har fået uautoriseret adgang til data, eller situationer hvor man ved en fejl har lagt en masse cpr-numre ud på nettet.

Det gode ved de indikatorer er, at de matcher persondataforordningens krav om at underrette datatilsynet og datasubjekter om sikkerhedshændelser. Så derfor vil det ikke være en ekstra ting, man skal måle på.

I den nye GRI-standard,, kommer der i løbet af 2018 nogle nye indikatorer med. Ifølge Birgitte Kofod Olsen vil klager og sikkerhedsfejl givetvis også være med , men der vil sikkert blive tilføjet indikatorer på antal person, der er trænet i databeskyttelse, og antallet af screenede  af leverandører i samme.

Tag nu en energivirksomhed, som Carve Consulting har arbejdet med. Her har de talt med medarbejderne om, hvordan de skulle passe på data, og f.eks. peget på, at når man efterlader en arbejdsipad i bilen, så er det ikke virksomhedens men kundernes data man efterlader. Og at de data ikke tilhører virksomheden, men bare er lånt af kunderne

”Det, at vi skal passe på data, fordi de er lånt og tilhører nogle andre, udløser en bevidsthed om, at man skal være påpasselig med data. Det er den kultur, man skalhave opbygget på persondataområdet,” siger Birgitte Kofod Olsen.

Trusler og muligheder
Risikoen ved ikke at etablere sådan en kultur er store, men det er mulighederne ved at gøre det heldigvis også.

Birgitte Kofod Olsen beskriver risikoen som tredelt: Der er risikoen, man påfører sine kunder, der er omdømmerisikoen for virksomheden, og der er risikoen for klager eller erstatningskrav.

Sidstnævnte kan, afhængigt af hvilke regler man overtræder, være på mellem 10 millioner euro eller to procent af omsætningen eller 20 millioner euro eller op til fire procent af omsætningen. Og det er jo også en slags penge.

Omdømmerisikoen kan også blive afregnet kontant, hvis det udvikler sig til at kunder vælger din virksomhed fra, hvis du ikke kan vise at du håndterer persondata ordentligt.

”De ret betragtelige beløb afspejler jo så også konsekvensen af ikke at komme i hus med at leve op til persondataforordningen. Så må virksomheden leve med det risikobillede. Alt tyder på, at kunder bliver mere og mere bevidste om at data jo er deres. Så det handler om, at hvis kunderne skal blive ved med at bevare tilliden til ens virksomhed, og man skal bevare sin konkurrenceevne, så bliver man nødt til at gøre noget alvorligt ved det her,” siger Birgitte Kofod Olsen.

Toyota Material Handling A/S

Sponseret

3 centrale trin til ESG i din materialehåndtering

Danmarks Medie- og Journalisthøjskole

Sponseret

Brainy Brunch: S’et i ESG: 3 stærke råd til at kommunikere om social ansvarlighed

Relateret indhold

25.07.2024CSR.dk

Trods virksomhedsmodstand er inklusion vigtig for amerikanerne

24.07.2024CSR.dk

Power to X-brændstoffer kan nu blive certificeret som grønne i Danmark

15.07.2024BSR

Sponseret

How Financial Institutions Can Manage Human Rights-Related Risks

12.07.2024Elis Danmark A/S

Sponseret

Sammen med High:five giver Elis utilpassede unge en chance på arbejdsmarkedet

12.07.2024Elis Danmark A/S

Sponseret

Elis’ tekstilstøtte sikrer flere og ekstra gode ferieoplevelser til udsatte børn

05.07.2024Nilfisk

Sponseret

Nilfisk hjælper krigsskadede ukrainere

26.06.2024CSR.dk

Rapport: Forbrugere vælger oftere genbrugstøj

26.06.2024Dagrofa aps

Sponseret

Nyt tiltag skaber jobs for unge med autisme i Ishøj Kommune

Jobmarked

Se alle

Visma e-conomic A/S

Sustainability Manager

Har du erfaring med ESG, og vil du gøre en forskel i en virksomhed i rivende udvikling? Så er det måske dig, vi leder efter.

Område

Hovedstaden

Ansøgningsfrist

Snarest muligt

Roblon A/S

ESG-koordinator

Brænder du for at arbejde med bæredygtighed? Få et spændende job som ESG-koordinator hos Roblon A/S og bliv fagligt ansvarlig for ESG-rapportering i en international virksomhed i vækst

Område

Nordjylland

Ansøgningsfrist

29.08.2024

Beierholm

ESG-Seniorkonsulent til Beierholm Bæredygtighed

Til vores nyopstartede afdeling for Bæredygtighed søger vi erfarne konsulenter, der kan være med til at sætte deres præg på afdelingen fra dag ét!

Område

Midtjylland

Ansøgningsfrist

Snarest muligt

Andel

Sustainability Supply Chain Specialist – Skab en bæredygtig fremtid i vores indkøbsafdeling!

Vil du være med til at prioritere grønne indkøb og arbejde med ansvarlig leverandørstyring? Vær med til at sætte dit præg på bæredygtighedsrejsen i vores indkøb og leverandørkæde. Vi er en ny funktion i indkøbsafdelingen, det betyder at dit ansvarsområde og dine opgaver løbende tilføres og tilpasses, i forhold til din og forretningens udvikling.

Område

Hovedstaden

Ansøgningsfrist

14.07.2024

SUSTAINX ApS

Vil du være med på et stærkt ESG-Hold? 🌱

Som Senior ESG Advisor hos SustainX bliver du en aktiv del af den grønne omstilling, og sammen leverer vi ESG løsninger, der omfatter alt fra strategi til direkte projektudførelse.

Område

Hovedstaden

Ansøgningsfrist

Snarest muligt

Anlægsgartner Gottlieb A/S

Anlægsgartner Gottlieb A/S privathave afdelingen søger formand

Anlægsgartner Gottlieb Søger formand til udførsel af anlægsopgaver

Område

Sjælland

Ansøgningsfrist

Snarest muligt

Beierholm

Senior Manager til erklæringsafgivelse på bæredygtighedsområdet

Til vores nystartede afdeling for erklæringsafgivelse på bæredygtighedsrapporteringer søger vi en Senior Manager, der kan være med til at sætte sit præg på afdelingen fra dag ét!

Område

Hovedstaden

Ansøgningsfrist

Snarest muligt

Hold dig opdateret med CSR.dk

Tilmeld dig nyhedsbrevet og følg med i alt som rører sig indenfor ESG og bæredygtig udvikling Nyhedsbrevet kommer kun to gange ugentligt. Herudover sender vi dig relevante temaer og spændede events.

Se flere temaer

Events

Se alle
Klimakampen ApS
Workshop
Klimakampen - Marts 2024

Er du kontorets klimahelt? Saml dit hold og dyst mod dine kollegaer i at udføre klimavenlige handlinger i 4 uger. Tilmeld jer Klimakampen nu!

Dato

04.03.2024

Sted

Online

Sustainable Business Solutions ApS
Kursus
Klimadata og klimaregnskaber i praksis - København

Efterspørges der en baseline på virksomhedens carbon udledninger, og har du behov for at blive bekendt med klimaregnskabets scope 3? Dette to-dages kursus vil ruste dig til at håndtere klimadata og klimaregnskaber effektivt.

Dato

25.06.2024

Tid

09:00

Sted

IDA Conference, Kalvebod Brygge 31-33, 1530 København V

SUSTAINX ApS
Webinar
Webinar: Spørgetime om ESG

- Med CEO og Partner i SustainX, Line Amtorp

Dato

26.06.2024

Tid

11:00

Sted

Online

TANIA ELLIS - The Social Business Company
Webinar
Åben tilmelding: ESG Sommerskole

Få viden og værktøjer til at forbedre din virksomheds bæredygtige forretningsindsats med sommersmagsprøver fra den praktiske Sustainable Business Change Manager uddannelse.

Dato

07.07.2024

Tid

09:00

Sted

Online

2030 Builders
Møde
Sustainability Engagement Consultative call

Participate in an open discussion hosted by Mia Negru, co-founder of 2030 Builders. Engage in a dynamic dialogue focusing on the unique challenges and best practices in sustainability engagement. This session aims to foster a collaborative environment where you can exchange insights with fellow professionals, explore innovative solutions, and learn how to leverage technology to enhance human interactions within your company.

Dato

02.08.2024

Tid

12:00

Sted

Google Meet

Sustainable Business Solutions ApS
Webinar
Gratis Webinar - CSRD: Hvad skal der rapporteres på?

Bliv fortrolig med de nye CSRD-krav og forstå, hvad der er obligatorisk, og hvad der afhænger af dobbeltvæsentlighedsanalysen. I dette gratis webinar fra Sustainable Business Solutions vil vores seniorrådgivere give dig et detaljeret indblik i implementeringstidslinjen, ESRS-hierarkiet, og hvordan en CSRD-rapport ser ud. Webinaret er en del af vores "ESG to the point" webinarserie.

Dato

06.08.2024

Tid

08:15

Sted

Live online (Zoom)