Der er ingen grund til at gå i GDPR-panik. Måske fordi mange slet ikke ved, hvad GDPR dækker over, men det er EU’s nye persondataforordning, der træder i kraft i maj næste år. Og selvom man ikke er ved at gå i panik, så er det måske på tide at komme lidt i gang med GDPR, hvis man ikke ved, hvad der kræves. For overholder man ikke de nye retningslinjer, kan der falde store bøder. For såkaldte mindre forseelser kan bøden være 10 mio. Euro – i grelle tilfælde det dobbelte, eller op til fire procent af en global omsætning. Datatilsynet kan i dag give bøder på maksimalt 25.000 kr.
Fremfor at gå i panik skal man gøre noget helt andet. Brug i stedet processen til at give systemer og procedurer et værdiskabende serviceeftersyn.
– De nye persondatakrav er ikke anderledes end mange af de øvrige ændringer i virksomheders rammevilkår, som sker hele tiden. Alligevel oplever vi, at mange forventer at skulle bruge meget store ressourcer og bl.a. have hele teams af eksterne konsulenter involveret i deres GDPR-processer, selv om det virkelig ikke er nødvendigt. Jeg vil gætte på, at en del af de forventede udgifter kan undgås, hvis man i stedet bruger sin sunde fornuft og spørger ind til, hvad det reelle behov er. I mange tilfælde vil processen sagtens kunne håndteres af virksomheden selv med ekstern assistance fra en GDPR-certificeret specialist i en kortere eller længere periode. Der er ingen grund til at gøre det mere indviklet, omfattende eller dyrt, end det behøver at være, forklarer Sales Director Rasmus Steengaard fra konsulentvirksomheden Ework Group Danmark, der lever af at matche selvstændige konsulenter med opgaver inden for bl.a. IT-sikkerhed i danske virksomheder.
Uanset behovet for ekstern assistance er en af de største udfordringer lige nu, at der fokuseres for snævert på GDPR som enkeltstående compliance-komponent. Det vurderer Kersi Porbunderwalla, der er grundlægger af tænketanken Copenhagen Compliance, som bl.a. træner og certificerer GDPR-specialister.
– Mit første råd er altid, at et nyt compliance-tiltag skal skabe værdi for virksomheden og ikke bare indkøres, fordi det er et lovkrav. Indføring af GDPR går på tværs af IT, HR, finans, intern revision, marketing osv. og er derfor en god anledning til at få tjekket opdatering og integration af IT-systemer, platforme og procedurer igennem. Det kræver en større indsats her og nu, men man får langt mere ud af det på sigt, både hvad angår effektivisering af administration og drift samt forbedring af IT-sikkerheden i virksomheden.