Risikerer millionbøder: Danske virksomheder er ikke klar til skrappe EU-regler

En rundspørge blandt store danske virksomheder viser, at virksomhederne ikke har styr på EU's nye persondataregler. Reglerne træder i kraft om mindre end otte måneder.

Der er mindre end et år til, at EU-persondataforordningen træder i kraft. Får virksomhederne ikke styr på deres it-sikkerhed inden da, kan det betyde bøder i millionklassen. Foto: Colourbox

Erhverv

2. okt. 2017 kl. 15.47

Det kan komme til at koste de danske virksomheder dyrt, hvis de ikke overholder EU’s nye persondataregler, der træder i kraft den 25. maj 2018. Men hele 38 pct. af de danske virksomheder ved ikke, at de risikerer enorme bøder, hvis de bryder de nye persondataregler.

Det viser en rundspørge foretaget for cybervirksomheden Trend Micro blandt beslutningstagere fra virksomheder over hele kloden - herunder Danmark.

Annonce

EU-persondataforordningen (GDPR) indeholder en række nye krav til, hvordan virksomheder opbevarer og behandler persondata. Hvis reglerne i den nye databeskyttelseslov ikke overholdes, kan det have alvorlige konsekvenser for virksomheder - bl.a. i form af kæmpe bøder.

Reglerne træder i kraft om mindre end otte måneder, men de danske virksomheder er langt fra klar.

Undersøgelsen

Rundspørgen blev udført af analysevirksomheden Opinium på vegne af Trend Micro i perioden 22. maj til 28. juni 2017.

1132 beslutningstagere fra virksomheder over hele kloden deltog i undersøgelsen, herunder Danmark.

I Danmark har 103 beslutningstagere fra danske virksomheder, som hver især har mere end 500 ansatte, deltaget i undersøgelsen.

Resultaterne viste bl.a.:

93 pct. ved, at de er underlagt de nye regler.
18 pct. havde slet ikke set på reglerne
38 pct. ved ikke, hvor store bøderne, for ikke at overholde reglerne, kan blive.
Hhv. 66 pct. og 59 pct. ved, at e-mailadresser og postadresser er omfattet af reglerne. Men 52 pct. ved ikke at fødselsdatoer er omfattet.
Kun 15 pct. kunne svare rigtigt på spørgsmålet om, hvilken virksomhed, hvem der bærer ansvaret, hvis en dansk virksomhed f.eks. opbevarer data i clouden hos en amerikansk virksomhed.
28 pct. peger på, at den største udfordringer med at håndtere GDPR er, at det ikke er klart, hvem i organisationen der har ansvaret for persondatasikkerhed. Her peger 44 pct., at det er virksomheden som helhed, der har ansvaret for persondatasikkerheden, mens 33 pct. mener, at ansvaret ligger hos den adm. direktør.
71 pct. lægger ansvaret hos IT-personalet. Kun 34 pct. har involveret ledelsen.
Kun er 30 pct. af de adspurgte virksomheder har investeret i avanceret teknologi, som kan afsløre, hvis nogen bryder ind på virksomhedens netværk og kan stjæle data. Kun 31 pct. har indført krypteringsteknologi, og kun 23 pct. har indført såkaldt data leak prevention-teknologi, som kan forhindre datalækage.

Undersøgelsen er ikke repræsentativ, men giver et billede af, hvordan danske virksomheder håndterer de nye regler.

Analysevirksomheden Opinium har på vegne af Trend Micro foretaget en rundspørge blandt 1132 beslutningstagere fra virksomheder over hele verden. I Danmark har 103 beslutningstagere fra danske virksomheder, som hver især har mere end 500 ansatte, deltaget i undersøgelsen.

Undersøgelsen viser, at 93 pct. af de danske virksomheder, der har deltaget i rundspørgen, ved, at de er omfattet af de nye regler. På trods af det har 18 pct. af de danske beslutningstagere ikke set de nye regler, selvom de skal være klar til at overholde dem om mindre end otte måneder.

Annonce

Nye dataregler fra EU

Den 25. maj 2018 træder et nyt sæt regler om beskyttelse af persondata i kraft, i alle EU-lande.
Mest markant vil bøderne for at bryde reglerne blive harmoniseret og hævet, så en virksomhed i værste fald skal betale 4 pct. af global omsætning i bøde. Det svarer for et selskab som Google til 18 mia. kr.
Virksomheder skal kunne dokumentere og kontrollere de strømme af persondata, som bliver indsamlet og sendt videre. Alene denne kortlægning kan være et stort arbejde, for det overblik har de færreste i dag.
Borgere skal i højere grad end i dag give deres tydelige samtykke til, hvordan data om dem bliver brugt af virksomheder, for eksempel til marketing eller videresalg til andre.
Borgere får mulighed for at kræve data om dem slettet, eller kan flytte dem over til en anden leverandør, samt retten til at blive underrettet, hvis data er blevet lækket.
Virksomheder skal følge princippet om privacy by design, så data så vidt muligt bliver gjort anonyme i it-systemerne, for eksempel hvis de skal bruges til store analyser, hvor man ikke har brug for at kende identiteten på hver enkelt.
En række meldepligter bliver fjernet, så både datatilsyn og virksomheder sparer tid og ressourcer. Til gengæld falder hammeren så meget hårdere, hvis det senere viser sig, at en virksomhed ikke har levet op til reglerne og ikke kan gøre rede for, hvordan persondata bliver håndteret.
Alle børn under 13 år må kun blive en del af sociale tjenester på nettet med deres forældres godkendelse. Lande kan individuelt hæve dette krav op til 16 år.

»Det er alvorligt, at næsten hver femte, store danske virksomheder ikke har kigget på reglerne her i ellevte time. Det kræver ofte både planlægning, tid og investeringer i ny teknologi at omstille sig til GDPR, og der vil være mange, som ikke når det i tide,« vurderer cybersikkerheds-ekspert, Jesper Mikkelsen fra Trend Micro i pressemeddelelsen.

Jesper Mikkelsens vurdering underbygges af analysevirksomheden Gartners forudsigelse om, at flere end hver anden virksomhed ikke vil være i stand til at leve fuldt og helt op til GDPR-kravene ved udgangen af 2018.

38 pct. af beslutningstagerne i danske virksomheder ved ikke, hvor store bøderne kan blive, hvis de ikke overholder reglerne. 6 pct. af de danske virksomheder er slet ikke klar over, at de kan få bøder. 15 pct. af de danske virksomheder mener, at en GDPR-bøde ikke vil påvirke dem det mindste.

Indholdet fortsætter efter annoncen

Annonce

»I dag kan Datatilsynet give bøder på maksimalt 25.000 kr. Men efter 25. maj taler vi om bøder på op til ca. 150 mio. kr. eller 4 pct. af virksomhedens globale årsomsætning. Vi går altså fra en situation, hvor en datalækage er en økonomisk bagatel for en stor virksomhed, til en situation, hvor den kan koste virksomheden livet. Derfor er det yderst bekymrende, at så mange ikke kender bødernes størrelse,« siger Jesper Mikkelsen i pressemeddelelsen.

Også kendskabet til, hvad persondata indebærer, er begrænset. 52 pct. ved f.eks. ikke, at fødselsdatoer er omfattet af de nye regler. Ydermere har under en tredjedel af virksomhederne indført krypteringsteknologi og kun 23 pct. har indført teknologi, der kan forhindre persondata i at blive lækket.

Risikerer millionbøder: Danske virksomheder er ikke klar til skrappe EU-regler

Klinikejer fabrikerede gældsbreve på op til 250.000 kr. Troldmanden fra ”Den Sorte Svane” var revisor

Klinikejer fabrikerede gældsbreve på op til 250.000 kr. Troldmanden fra ”Den Sorte Svane” var revisor

Sag om midtjysk ægtepar kan ifølge ekspert underminere hele formålet med milliarddyrt skattesystem

Skal omgå Hormuzstrædet: Emiraterne fremskynder planer for ny olierørledning

Forud for fusion: Arla låner 1 mia. euro på obligationsmarkedet

Chefanalytiker bider mærke i bestemt ordvalg efter topmøde

Alt er så smukt og godt her – men den bedste ret får man i køkkenet

Topleder: »Der er tre kvinder i mit liv, som har formet mig«

Hos DCC Energi har de knækket koden: Sådan sikrer de god trivsel på arbejdspladsen

Danske virksomheder sakker bagud i den tredje AI-bølge: »Det er her, det helt store potentiale ligger«

Topjob

Privatrådgiver

Ansvarlig for compliance og hvidvask

Erhvervsrådgiver

Projektleder til Control Systems

Formand/værkfører til svejseafdeling

Projektleder

Økonomi- og administrationsansvarlig

Afdelingschef til Hillerød

Driftschef