Ny undersøgelse om EU Persondataforordning overrasker:
IT-afdelingen har ofte ansvaret for efterlevelsen af EU Persondataforordningen – men mange forventer ikke at it-understøtte arbejdet.
Vores undersøgelse afdækker et paradoks imellem danske virksomheders forståelse af, hvem der skal sikre, at de lever op til den nye persondataforordning, og hvilke værktøjer implementeringen vil kræve. Dette paradoks kan betyde, at efterlevelsen falder til jorden.
Når den nye persondataforordning træder i kraft i maj 2018, vil især de små og mellemstore virksomheder have en stor opgave foran sig. Men hvordan den gribes an, er forskelligt fra virksomhed til virksomhed. En ny undersøgelse fra Devoteam viser dog, at især IT afdelingerne får travlt med at sikre, at virksomhederne lever op til kravene i persondataforordningen. Hele 61,8 pct. svarer, at arbejdet med persondataforordningen skal forankres i IT-afdelingen. Helt paradoksalt svarer 28,1 pct. dog også, at de slet ikke forventer at anvende it-værktøjer til at sikre efterlevelsen.
Ingen løsning uden IT
Hvordan virksomhederne skal sikre, at de lever op til persondataforordningen, uden brug af IT, er dog svært at forestille sig:
Det er overraskende og foruroligende, at så mange ikke forventer at understøtte indsatsen med teknologi. Det er grænsende til uladsiggørligt og i hvert fald ekstremt ressourcekrævende at forlade sig på manuelle processer – som er alternativet til teknologiunderstøttelse, siger Frederik Helweg-Larsen, Expert Director hos Devoteam.
Devoteams anbefaling er derfor klar: Brug IT til at understøtte arbejdet. Det er ikke nok at beskrive formelle tiltag. Der findes teknologier og værktøjer, som kan digitalisere efterlevelsen af persondataforordningen og minimere de manuelle indsatser. Mange af teknologierne er IT-afdelingen formentlig allerede bekendt med, mens andre er nye og ukendte.
Klassiske teknologier som kryptering og adgangsstyring er it-afdelingerne meget bevidste om og de er da også specifikt nævnt i EU Persondataforordningen. Andre teknologier som scanning efter persondata, digital procesafdækning, styring af datas livscyklus og afdækning af ukendte cloud-ydelser er man mindre bevidste om, da behovet tidligere har være begrænset.
De nye værktøjer og teknologier er hastigt på vej frem og mange virksomheder undervurderer opgaven der ligger i at ændre adfærd i behandlingen af persondata.
De fleste har ikke engang en plan
Devoteam har spurgt 500 danske offentlige og private virksomheder om deres arbejde med EU Persondataforordningen og undersøgelsen viser, at:
- 12% mener at efterleve EU Persondataforordningen på nuværende tidspunkt.
- Mere end 2/3 har stadig ikke har en plan (hovedsagligt mindre og mellemstore virksomheder)
- 33 pct. er endnu ikke gået i gang med implementering af forordningens krav
- 28,1 pct. forventer ikke at bruge it-værktøjer til efterlevelse af forordningen
- Blandt de virksomheder, der forventer at bruge it-værktøjer bruges følgende:
- Rolle/rettighedsstyring – 43,4 pct.
- Kryptering – 27,3 pct.
- Data Discovery – 6,3 pct.
- Shadow-IT Discovery – 3,2 pct.
- Digital Datastrømsanalyse – 13,1 pct.
- Automatisk eksekvering af sletteregler – 19,6 pct.
- Intrusion detection – 12,1 pct.
Efterlevelsen er en multi-disciplin
”Det er desuden vigtigt at huske på, at selvom IT-afdelingen er en vigtig del af efterlevelsen af persondataforordningen i mange virksomheder, så er arbejdet i høj grad en multi-disciplin. Alle centrale interessenter i organisationen skal inkluderes. Det vil i en større virksomhed sige cheferne for jura, IT, HR, kunder og for bordenden én, der har indflydelse på deres tid og budget, typisk en CFO eller CEO,” siger Frederik Helweg-Larsen.
Devoteam har en lang tradition for at levere ”pragmatisk” rådgivning inden for discipliner som Risikostyring, Compliance, ISO 27001 Implementering og certificering, automatisering af sikkerhedsprocesser og –kontroller samt beredskabsplaner og –øvelser. Det er netop deres mangeårige erfaring med disse discipliner, der er med til, at de kan sikre at deres kunder får skabt en god fornuftig sammenkobling af disse discipliner, og dermed får skabt en vedvarende databeskyttelsespraksis, også efter GDPR projektets afslutning.
Download Devoteam GDPR Markedsundersøgelse herunder.
