Der er under et halvt år til d. 25. maj 2018, hvor den nye fælleseuropæiske persondataforordning træder i kraft. Dermed er der gået mere end 75 procent af den tid, du har haft til at implementere den i din virksomhed. Er du heller ikke nået 75 procent i mål? Så læs med her og lad os starte et skæbnefællesskab, hvor vi gennem vores konkrete erfaringer forhåbentlig kan gøre hinanden klogere.
Hvad kommer den nye persondataforordning til at betyde for din virksomhed?
Har du også læst stolpe op og stolpe ned med fagpersoner, der giver gode råd om den nye europæiske persondataforordning, der erstatter den danske persondatalov d. 25. maj 2018? I så fald skal du læse videre. Eller mere usandsynligt; Er det her første gang, du støder på den nye persondataforordning? I så fald skal du i dén grad læse videre. Kort sagt; Du skal læse videre.
Vi prøver nemlig at vende op og ned på det hele og i stedet tage udgangspunkt i, hvordan Intempus som virksomhed er i gang med at gøre sig klar til persondataforordningen, og hvad vi forventer, vi kommer til at bruge på det af ressourcer. Og lad os bare varedeklarere fra start; Vi er på et tidligt stadie, så nogen detaljeret best practice-facitliste til implementering af persondataforordningen finder du ikke her. Men måske har din virksomhed større eller mindre fællestræk med Intempus. Måske kan du finde trøst i at vide, at der er andre, som har lige så meget arbejde foran sig som dig. Men hvis du ligesom 26 procent af de mellemstore danske virksomheder stadig går rundt og taler om “persondataloven”, og det her er første gang, du hører om persondataforordningen, kan vi ikke trøste dig – så skal du bare se at komme i gang!
Vi vil lave mange flere blogindlæg, når vi kommer længere ind i arbejdet med at implementere loven i Intempus’ systemer, men vi starter altså blødt ud. Så hvad har vi gjort indtil videre?
Først og fremmest har vi hurtigt konkluderet, at Intempus i allerhøjeste grad rammes af persondataforordningen. Den vedrører jo alle firmaer, som arbejder med personhenførbare oplysninger. Og det er vist naivt at forestille sig, at det ikke skulle være tilfældet for en virksomhed, der sælger software til timeregistrering og håndterer disse data for brugerne.
Men det er faktisk de færreste ting, der ikke er personhenførbare. Tag bare et eksempel fra sidste uge med en kunde. Vi snakkede om kørselsregistrering, og da vi også kom omkring GDPR – som er den engelske forkortelse for persondataforordningen – faldt kunden i den klassiske fælde med at tro, at GDPR mest drejer sig om personfølsomme oplysninger som f.eks. CPR-nummeret. Men nej, tænk eksempelvis på, hvis man fik fat i en persons kørselsregistreringer. Rute og tidspunkt. Det vil i domstolenes øjne være muligt på baggrund af oplysningerne at sætte sig ud i vejkanten og identificere personen – ikke mindst hvis oplysningerne er suppleret af nummerpladen, som det typisk vil være tilfældet i Intempus.
Det er altså væsentligt lettere at tale om, hvilke data der ikke er personhenførbare, end hvilke der er. Og på stående fod kan vi ikke rigtigt komme i tanke om, at vi håndterer nogle af førstnævnte. I hvert fald ikke når de står i sammenhæng med andre. Dertil kommer alle de samarbejdspartnere, vores system integrerer til, og som vi dermed leverer data videre til samt alle dem, vi håndterer data for. Konklusion: Vi har masser af arbejde foran os med dels at optimere vores egne systemer og arbejdsgange til GDPR og dels at få lavet vandtætte kontrakter med alle dem, vi på den ene eller anden måde arbejder sammen med.
Brancheforeningen IT-Branchen ligger i øvrigt inde med en standardkontrakt, som man kan tilpasse og gøre til sin egen (kræver medlemskab). På den måde kan man slippe uden om at få en advokat til at gøre det for den slags timelønninger, de tager. Eller endnu værre; selv lave en kontrakt på må og få. Den løsning kan næppe anbefales, hvis man ikke har kompetencerne til det. Et andet godt råd er i øvrigt helt at undgå personfølsomme oplysninger som CPR-nummer, seksuel og politisk orientering, fagforening og så videre, hvis du kan. De er uhyre besværlige at behandle og samtidig leve op til GDPR. Det gælder naturligvis kun de data, du er databehandler for. På ansættelseskontrakter og lignende er det umuligt ikke at have personfølsomme oplysninger. Er du i tvivl om forskellen på databehandlere og dataansvarlige? Så fold boksen herunder ud og bliv klogere.
Databehandler eller dataansvarlig?
I stedet for at jonglere med en masse fagudtryk mener vi, at det kan udtrykkes mere præcist og pædagogisk; Er den omtalte data din eller bare noget data, du behandler for en anden? I det første tilfælde er man dataansvarlig – i det andet tilfælde er man databehandler.
Intempus leverer software til indberetning af arbejdsrelateret data. Og bagved den software har vi selvfølgelig nogle databaser, der opbevarer denne data. Men det er altså ikke data, vi ejer eller er videre interesserede i. Det er vores kunders data, og derfor er vi databehandlere.
Derudover har alle virksomheder naturligvis en masse HR-data som ansættelseskontrakter, lønoplysninger, kundeoplysninger og så videre. Dem er man dataansvarlig for, og her er kravene strengere, men det gælder for alle. Kan du undgå at opbevare CPR-numre og andre personfølsomme oplysninger, skal du gøre det – de er nemlig besværlige at håndtere!
Hvad har vi konkret gjort i Intempus?
Vi hørte første gang om den nye persondataforordning tilfældigt til et kundemøde tilbage i foråret. Reaktionen var nok meget forudsigeligt ligesom de flestes; at slå det hen og undervurdere det lidt – givetvis fordi det virkede for uoverskueligt. Det krævede dog ikke megen research at konstatere, at det her er noget, vi ikke kommer let omkring, så fokus har ligget på at indsamle masser af viden, så vi har de bedste forudsætninger for at tage de rigtige skridt fra starten af.
Helt lavpraktisk har én person fået til opgave at holde sig fuldstændig opdateret på GDPR. Og en nem måde at spare tid på den opgave er at opsætte en Hootsuite– eller TweetDeck-konto og lave en dansksproget overvågning af ordene ‘GDPR’ og ‘ persondataforordning’. GDPR diskuteres ret meget på Twitter, så vores teori er, at laves der indhold om emnet, findes det på Twitter, som er et meget overskueligt medie at overvåge.
Derudover har vi været til nogle arrangementer, hvor kyndige personer har holdt oplæg om persondataforordningen og naturligvis implementeringen af denne i virksomhederne. Fordelen ved disse er, at man kan få svar på specifikke spørgsmål, tale med ligesindede og få værdifulde input til at kunne vurdere, hvor stærkt man skal løbe i ens egen virksomhed. Og så er de ikke mindst ganske ofte gratis.
I sidste uge har vi så også fået gjort det, som må være første skridt for alle typer af virksomheder, når man er nået hen over den indledende vidensindsamling – nemlig at kortlægge de forskellige datasæt og få dem segmenteret i ufarlige, personhenførbare og personfølsomme. Vi har helt lavpraktisk lavet et dokument, hvor vi har delt data op i dem, vi er dataansvarlige for (HR-data og lead-data primært), og dem, vi er databehandlere for (app-data primært).
Det var det. Længere er vi faktisk ikke kommet. Men det skal vi naturligvis, og det skal være snart – i hvert fald på denne side af jul.
Hvad er næste skridt?
Det har vi ikke et fuldt overblik over. Men vi forventer, at det næste skridt bliver at lave en analyse af, hvordan de forskellige data lige nu bliver behandlet, og hvad der mangler for at opfylde de nye krav. Derfra skal arbejdet med at optimere virksomhedens digitale og analoge infrastruktur samt indgå databehandlerkontrakter naturligvis påbegyndes.
Det må være planen i grove træk. Har vi noget overblik over, hvor mange ressourcer det kommer til at kræve? På ingen måde. Bliver vi negativt overraskede over det? Højst sandsynligt. Derfor desto mere grund til at komme i gang allerede nu, for der er ingen vej udenom. Eller jo, det er der, hvis man vil løbe risikoen for at dele ud af en masse menneskers personlige data, få virksomhedsudslettende store bøder og blive et kulsort får i flokken. Men den risiko vil vi ikke løbe. Heldigvis falder vi ned i kassen af databehandlere, som slipper noget nemmere om GDPR, end de dataansvarlige virksomheder gør.
Selvom Intempus kun er databehandler, slipper vi dog næppe for at skulle have en Data Protection Officer (DPO) – eller en “professionel pain in the ass”, som personen spøgende omtales som. Altså en person, der har ansvaret for at føre tilsyn med, at persondataforordningen overholdes. Efter vores egen bedste vurdering er vi ikke ude i en nyansættelse, men bare en eksisterende medarbejder, der får ansvaret lagt ind under sig og altså en hård opgave med at holde sig på god fod med kollegerne fremover.