GDPR - et år senere

GDPR-auditerede organisationer

Indtil videre er der afsagt få domme - både på globalt og nationalt plan. Med hensyn til internationale virksomheder er den store historie måske, at det svenske datatilsyn mere eller mindre umiddelbart efter indførelsen af GDPR udstedte et påbud mod Google om at fjerne en række søgeresultater, der indeholdt personnavne i sammenhænge, som var "ukorrekte, irrelevante, ikke længere relevante eller overflødige". Flere af de resultater, der skulle have været fjernet, er der dog stadig, næsten et år efter påbuddet, hvilket betyder, at Google i værste fald kan se frem til en bøde på mere end 11 milliarder svenske kroner.

På lokalt plan blev det så sent som i februar 2019 afsløret, at 1177 Vårdguiden havde lækket 2,7 millioner optagede telefonopkald foretaget af privatpersoner fra 2013 og frem. Disse opkald indeholder spørgsmål til rådgivning om forskellige sundhedstilstande og sygdomme. Da der er tale om patientdata, betragtes de som følsomme personoplysninger, der kræver særlig beskyttelse. Den svenske databeskyttelsesmyndighed har nu indledt en undersøgelse af 1177 Vårdguiden.

Hypen omkring GDPR har lagt sig

Men det, der måske har været mest mærkbart, er, at den hype omkring GDPR, der herskede for et år siden, nu er aftaget. Det skyldes nok ikke, at alle nu føler sig mere sikre på, at de faktisk har gjort det nødvendige arbejde, men at det simpelthen ikke har "påvirket" særlig mange mennesker. Det faktum, at så få virksomheder har fået bøder på grund af fejl, skaber en følelse af, at GDPR måske ikke er så streng alligevel.

Mange har "sminket" virksomheden på overfladen ved f.eks. at etablere en privatlivspolitik, dvs. det, der er synligt for omverdenen. Få virksomheder har virkelig fokuseret på det store arbejde, der kræves for fundamentalt at ændre deres tilgang i det daglige arbejde og etablere procedurer for håndtering af persondata.

Det, man tilsyneladende har overset, er, at de store teknologivirksomheder siden indførelsen af GDPR konstant udvikler nye tjenester for at leve op til kravene, hvilket gør skridtet mod compliance endnu mindre.

Hvorfor har så mange gjort så lidt?

Når så få har arbejdet indgående med GDPR, skyldes det først og fremmest manglende viden. Måske har man modtaget undervisning i forordningen, men hvordan den er relevant på et individuelt niveau for medarbejderne i deres daglige arbejde, er ofte uklart. Især hvis den rette teknologi og interne processer, der støtter medarbejderne i deres arbejde med dette, ikke er på plads.

Mange virksomheder sætter også deres egen position op mod andres. Mindre virksomheder antager ofte, at hvis de bare arbejder med større, etablerede virksomheder, kan de antage, at alt er ok. Sandheden er, at man ikke kan gå ud fra noget som helst, især ikke nu, hvor det er blevet tydeligt, at mange større virksomheder, som ofte er mindre tilbøjelige til at ændre sig end mindre virksomheder, ikke overholder GDPR. Dette, kombineret med det faktum, at der endnu ikke er nogen retspraksis, betyder, at det nemmeste er ikke at gøre noget som helst. Forordningen er der, men du ved ikke, hvordan du skal fortolke den, hvad du skal gøre i praksis for at overholde den, og hvad konsekvenserne vil være, hvis der sker noget.

I det lange løb kan du drage fordel af GDPR

Hvis du, som mange andre, sidder fast i GDPR, er en god måde at komme videre på at prøve at se det som en forretningsforbedring snarere end en udgiftspost i budgettet. Hvis du bruger et Office 365-miljø, er der færdige løsninger, som kan hjælpe dig med at opfylde de grundlæggende krav på den nemmeste måde. Ved at bruge disse løsninger kan du også eliminere overflødige eller manuelle processer, som i stedet kan automatiseres, hvilket gør arbejdet meget mere effektivt, billigere og mere sikkert.

Vil du gerne vide mere? Tøv ikke med at kontakte os hos WeSafe, så hjælper vi dig!