Ved du, hvad din virksomhed foretager sig digitalt?
Flere og flere virksomheder har ikke styr på, hvad de foretager sig digitalt. Årsagen er især den massive outsourcing af kompetencer, der kun er voksende. Det er problematisk.
Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.
I dag foregår alt digitalt hos de danske virksomheder. Det er til stor gavn for samarbejde, arbejdsliv og virksomhederne i sig selv på en lang række parametre. Det er der ikke meget nyt i.
Men i takt med at det digitale fylder mere og mere, betyder det også, at den enkelte virksomhed ved mindre og mindre om, hvad den egentlig foretager sig digitalt. Det kan have store konsekvenser for virksomhedernes compliance.
Et af problemerne er, at mange virksomheder køber it-ydelser som små puslespilsbrikker, og når man behandler persondata i en lang kæde af servicer og forskellige ydelser, så mister man overblikket over, hvad der foregår, og hvem der har adgang til de forskellige data undervejs i processen.
Med andre ord: Den massive outsourcing af kompetencer, der har fundet sted i det 21. århundrede, har skabt store udfordringer i forhold til data og compliance.
Tag nu bare en virksomhed med hovedkontor i Danmark, som for eksempel benytter sig af amerikanske leverandører, og som samtidig har outsourcet dele af deres udviklingsafdeling til et helt tredje land.
I en sådan situation er virksomheden blottet i forhold til at overholde GDPR, for hvad sker der med den data, der sendes op i skyen, og hvordan sikrer man sig, at ens underleverandører og ens underleverandørers underleverandører lever op til de danske krav til at beskytte persondata? For selv om du er sikret i Danmark, er det ikke nok. Du skal også tage højde for reglerne i alle lande i din værdikæde.
Et andet eksempel er, at flere og flere virksomheder er begyndt at arbejde med indbyggede AI-chatbots på deres hjemmeside. Men det er de færreste virksomheder med chatbots, der ved, hvor dataene bliver af. Hvis den for eksempel er bygget på OpenAI, kan der ikke gives garantier for, at dataene ikke bliver brugt og anvendt af en tredjepart. Det er brud på paragraf 5 i databeskyttelsesloven.
Der er visse ting, der ikke skal prioriteres over vækst. Persondata er en af dem.
De fleste virksomheder har en form for risikovillig tilgang til det at vækste, men når du er risikovillig, er du ofte også nødt til at gå på kompromis med andre ting. Én ting, vi dog ikke må gå på kompromis med, er beskyttelse af danskernes persondata.
I sidste ende er det virksomhedernes ansvar at føre tilsyn med deres leverandører – og deres leverandørers underleverandører – samt altid at vide, hvilke systemer der indeholder hvilke data.
Det lyder komplekst, og det er det også, men det er compliance i en nøddeskal. For det handler om personfølsomme oplysninger, der kan misbruges, hvis de falder i de forkerte hænder. Om beskyttelse af din og min data. Og om alle andres.
