Den 25. maj 2022 fylder GDPR 4 år

Siden databeskyttelsesforordningen (GDPR) fik virkning, er der ikke passeret en dag uden en nyhed eller afgørelse relateret til GDPR – enten i Danmark eller et af de andre europæiske lande. Men hvor langt er vi egentlig nået med overholdelsen af GDPR, og hvad vil det kommende år byde på af opgaver? Det giver vi et bud på her.

Siden GDPR fik virkning, har mange virksomheder og organisationer udarbejdet den lovpligtige dokumentation eller det såkaldte ”papirskjold”. Nogle virksomheder er endnu ikke nået hertil. Er dokumentationen på plads – og opdateret – skal den egentlige implementering og forankring i virksomhedens processer finde sted. Det er her, arbejdet først bliver svært, da det medfører, at medarbejdere evt. skal ændre den måde, de arbejder på, og arbejdsprocesser og it-systemer skal måske laves om. Men det er også først her, at den reelle efterlevelse af GDPR bliver effektiv. 

Kravene er blevet præciseret og fortolket, og der er publiceret adskillige vejledninger – både i Danmark og fra de andre europæiske tilsynsmyndigheder. Senest har der været fokus på Schrems II-sagen, som besværliggjorde tredjelandsoverførsler. Der er nu indgået en principaftale mellem EU-Kommissionen og USA, som giver et nyt håb for brug af amerikansk cloud. Læs mere om principaftalen her.

De europæiske tilsynsmyndigheder har truffet afgørelser i mange centrale sager, fx om lovligheden af Google Analytics og cookies, og har indstillet flere virksomheder til bøder. I Danmark har Datatilsynet også anmeldt ca. 20 virksomheder til politiet, dog afventer vi fortsat de endelige domme, som vil fastslå niveauet for de danske bøder. 

Store bøder er dog ikke alt. Datatilsynet har også andre sanktionsmuligheder, som kan ramme virksomhedernes omsætning og omdømme. Datatilsynet kan bl.a. udstede påbud eller forbud mod fx specifikke behandlingsaktiviteter eller brug af et it-system. Påbud eller forbud vil være omkostningsfulde i form af påvirkning af omdømme og evt. tab af kunder. 

Virksomheder og offentlige myndigheder kæmper for at følge med den hastige udvikling i et compliance-landskab, hvor målet hele tiden flytter sig.

Vi har udvalgt nogle af de områder, som virksomheder bør have fokus på i arbejdet med GDPR i det kommende år:

Papirskjoldet er ikke nok

De sidste år har virksomheder og myndigheder brugt ressourcer på at få GDPR-dokumentationen på plads. Mange steder mangler der forsat en ændring af tilgangen til compliance-arbejdet og de processer, som medarbejderne deltager i, samt en implementering af en systemunderstøttet tilgang til arbejdet med GDPR.

Da dokumentationen ofte er initieret af ledelsen, kan der være forskel på ledelsens vurdering af virksomhedens compliance-niveau og den faktiske efterlevelse i forretningen. Ledelsen vil derfor kunne være foranlediget til at vurdere virksomhedens compliance-niveau som værende højere, end det reelt er.

En gennemgang af den faktiske efterlevelse mindst én gang årligt er god skik og ofte en anledning til at genbesøge forretningsgange og kontroller.   

Compliance er en rejse uden endelig destination 

De fleste husker, hvordan vi blev oversvømmet med mails med privatlivspolitikker og samtykkeerklæringer den 25. maj 2018. Dengang fremstod datoen den 25. maj 2018 nærmest som et mål, der skulle nås. Mange organisationer forsøgte at implementere virksomheden ind i GDPR, frem for at implementere GDPR i virksomheden.

Vi er siden blevet klogere og er nu ved at forstå, at databeskyttelse, informationssikkerhed og GDPR ikke er en spurt, der kan gennemføres som et projekt med et juridisk papirskjold. 

GDPR-compliance kræver implementering af kravene i forretningen og efterlevelse i den daglige drift. Det er dermed ikke et endeligt mål, men en del af det compliance-arbejde, der allerede udøves i alle virksomhederne. Det er ledelsens ansvar, at databeskyttelsesreglerne overholdes på linje med andre ledelsesmæssige opgaver. Det betyder, at der skal ske en prioritering af budget såvel som arbejdstid til at løse disse opgaver.

GDPR-risikovurderinger er ikke it-risikovurderinger

I GDPR er det et grundlæggende princip, at data skal beskyttes ud fra en risikobaseret tilgang. Der skal gennemføres en risikovurdering – og på den baggrund implementeres passende sikkerhedsforanstaltninger og/eller kontroller. 

Formålet med risikovurderingen er ikke at vurdere risikoen for virksomheden, men for den registrerede (fx kunderne, borgerne eller medarbejderne). Risikovurderinger er lovpligtige efter GDPR, og omdrejningspunktet er de personer, man behandler personoplysninger om. I risikovurderingen skal man vurdere risikoen for at personoplysninger bliver delt med uvedkommende, hvad konsekvensen heraf kan være, og hvordan man evt. kan nedbringe denne risiko. Konsekvensen for den registrerede kan fx være identitetstyveri, men også skade på omdømme og velfærd.

Mange virksomheder har udført it-risikovurderinger, hvor der er gennemført trussels- og sårbarhedsvurderinger, vurderet risici ved tab af hhv. fortrolighed, integritet og tilgængelighed, men konsekvensen ved disse risici er alene vurderet ud fra virksomhedens perspektiv. Det kan være en god ide at arbejde videre med allerede eksisterende it-risikovurderinger. Alternativt at metoder og processer for risikovurderingerne sammentænkes, hvis der skal startes forfra.

Data er (stadig) det nye guld

GDPR opfattes til tider som et benspænd for den daglige drift, forretningsudvikling og ny teknologi. Det skyldes både myter og fejlfortolkninger, men også det faktum, at GDPR stadig er en forholdsvis ny og kompleks forordning, som stadig er i udvikling. 

GDPR er ikke sat i verden for at forhindre virksomheder i at drive virksomhed – tværtimod. GDPR skal bidrage til og understøtte ansvarlig brug af data i et digitaliseret samfund. 

Der er et øget behov for at udnytte de digitale muligheder til at automatisere forretningens kerneprocesseer og benytte ny teknologi, fx cloud, til at udnytte data til brugbare indsigter, der kan handles på. Den digitale udvikling gør teknologi, sikkerhed og lovgivning uadskillelige.      

Ud over at GDPR er både lovgivning, som skal overholdes, og et fundament for den digitale og teknologiske udvikling, er der også en række forretningsmæssige fordele ved at implementere og overholde GDPR. Reglerne kan ændre sig fra at udgøre en risiko i virksomheden til et aktivt konkurrenceparameter.

Data er guld, som kan skabe høj værdi for virksomheden, hvis virksomheden får udnyttet data til fx datadrevne beslutninger. GDPR kan være en løftestang til at sætte andre digitaliseringstiltag i gang, der kan styrke virksomheden, herunder initiativer inden for AI, Big Data og Data Analytics. 

GDPR er kun starten på regulering af data

EU anser data som en væsentlig ressource for EU’s fremtidige vækst, og denne ressource skal ikke blot beskyttes, men også benyttes. EU-Kommissionen fremsatte i februar 2020 en datastrategi, som skal skabe de bedste rammer for den såkaldte ”dataøkonomi”, herunder understøtte brugen af nye teknologier som fx cloud, IoT, blockchain og AI. 

I kølvandet på strategien blev der iværksat flere lovgivningsinitiativer, fx Data Act, der særligt har til formål at sikre, at små og mellemstore virksomheder nemmere kan få adgang til og benytte data fra fx techgiganterne. Derudover byder den kommende tid på tiltag som NIS2-direktivet og et nyt privacy shield på baggrund af EU-Domstolens Schrems II-dom.

GDPR bør anses for en grundlæggende forudsætning for at bruge data, da området vil blive reguleret yderligere i fremtiden. Særligt EU’s forslag til et regelsæt for reguleringen af brug af kunstig intelligens ("The AI Act"), som forventes færdiggjort i 2022, kan medføre ændringer. Forslaget indeholder bl.a. et forslag til en inddeling af AI på baggrund af en risikobaseret tilgang, hvor der tages hensyn til de registrerede. Derudover lægger forslaget op til de samme bødestraffe, som vi kender fra GDPR, dog med mulighed for at gange disse med 1,5 ved særligt grove overtrædelser.

Vil I høre mere om, hvordan I effektivt kan implementere GDPR og få konkrete råd til nogle af jeres udfordringer? Så deltag i vores webinar den 24. maj kl. 15. Tilmeld dig her.

Hvordan kan vi hjælpe jer? 

Har I brug for hjælp, er I velkomne til at kontakte PwC’s Technology & Security-afdeling.

PwC’s Privacy & Data Protection (GDPR)-team er en del af PwC’s Technology & Security-afdeling, som tæller op mod 200 konsulenter. Vi har derfor adgang til en lang række specialister inden for bl.a. cyber- og informationssikkerhed og kan bistå med rådgivning og vejledning – fra juridisk og forretningsmæssig rådgivning til teknisk rådgivning.