Den 25. maj 2018 træder EU’s databeskyttelsesforordning i kraft. Fra den dag skal virksomheder kunne bevise, at de er i stand til at beskytte personoplysninger, ligesom de er forpligtet til at udlevere informationer til de borgere, der beder om det. Det oplyser Deloitte

Det betyder store ændringer i it-systemer og processer. Med mindre end 500 dage til forordningens ikrafttrædelse er der stadig lang vej at gå. Det viser nye tal fra Danmarks Statistik.

- EU’s nye regler for databeskyttelse er en såkaldt forordning, hvilket betyder, at den automatisk træder i kraft i alle EU-lande. Dermed har vi altså pligt til at indrette den danske lovgivning efter forordningens bestemmelser. Det er ikke et valg, vi har, siger leder af Deloittes cyber-enhed, Kim Schlyter.

Borgere beskyttes bedre

Med de nye regler får unionens borgere en helt anden databeskyttelse end tidligere, vurderer Kim Schlyter:

- Virksomheder skal fremover gøre langt mere for at sikre de data, de har indsamlet fra deres kunder, og de skal samtidig kunne bevise over for myndighederne, at de har styr på tingene. Det betyder bl.a., at de skal klassificere data, foretage løbende risikovurderinger og samtidig kunne dokumentere skriftligt, at data er i sikre hænder, siger han.

Samtidig skal mange virksomheder også øve sig i at slette data, hvilket er langt sværere, end det umiddelbart lyder.

- Enhver borger har faktisk ret til at få oplyst, hvad virksomheden har indsamlet af data om netop ham eller hende, og man har også ret til at få disse data slettet, såfremt man ønsker det. Det er noget, som typisk volder store problemer for de virksomheder, som ikke har formået at have ekstremt god orden i penalhuset, siger Kim Schlyter.

Mange virksomheder er allerede gået i gang med at forberede sig til de nye regler. Alligevel halter en stor del af erhvervslivet efter, viser nye tal. Bekymrende, mener Kim Schlyter:

Kraftige bøder

- Ifølge en undersøgelse fra Danmarks Statistik har hele 40 procent af de større danske virksomheder endnu ikke påbegyndt deres risikoanalyse. 49 procent mangler stadig at gå i gang med den dataklassifikation, der skal identificere personoplysningerne. Det vidner om et betydeligt efterslæb på tværs af erhvervslivet. Det er absolut nu, man skal se at gå i gang.

Ifølge EU kan manglende overholdelse af de nye databeskyttelsesregler i værste fald resultere i bøder på op til 20 mio. euro.