Virksomheder gider ikke slette forældede data
Der er billigt at købe mere lagerpalds og større databaser. Derfor sletter firmaer ikke gamle data, men det kan blive dyrt, når EU´s persondataforordning snart træder i kraft.
EU´s nye persondataforordning kan blive dyr at overtræde for virksomhederne.
Det siger it-revisor Hans Henrik Berthing, Verifica. Han er desuden aktivi i organisationen Information Systems Audit and Control Association, ISACA.
Årsagen til, at han siger det, er den nye persondataforordning fra EU, der træder i kraft 25 maj 2018. Den kræver, at virksomhederne har styr på deres persondata omkring kunder og forretningsrelationer.
Men det bliver sværere at have styr på sine persondata, hvis man ikke sletter eller opdaterer forældede persondata. Dem er der samtidig skrappe restriktioner på, hvad firmaer må bruge til.
Datatilsynet har hidtil kun i begrænset omfang fundet anledning til at overtrædelser af persondataloven sanktioneres med bøder til private virksomheder eller offentlige myndigheder.
Risiko for store bøder
Det betyder, at Datatilsynets hårdeste straf er at udtale kritik af de procedurer og af virksomheden, som overtræder persondataloven - også selv om overtrædelsen sker flere gange. Den hårdeste straf er i praksis offentliggørelsen af Datatilsynets afgørelser.
Den nuværende persondatalov har ikke nogen direkte økonomisk konsekvens for lovovertræderen. Det vil EU´s persondataforordning gøre op med.
Her skal tilsynsmyndigheden sikre, at overtrædelser af forordningen er effektiv og står i rimeligt forhold til overtrædelsen. Herunder at det har en afskrækkende virkning. Så uanset om virksomhederne kan lide persondataforordningen eller ej, bliver databeskyttelsen noget, som de kommer til at investere i for at undgå at overtræde loven.
”Det er en investering i at undgå bøder. Det er derfor processer og strukturering af data, der indeholder personlige oplysninger, en nødvendighed. Det kan virksomhederne ligeså godt gå i gang med først som sidst”, siger Henrik Berthing til nyhedsbrevet itSMF.
Et af de nye krav er, at hver virksomhed skal have en Data Protection Officer. I virksomheder over 250 ansatte skal det være en ansat person – mindre virksomheder kan i stedet outsource opgaven, men de slipper ikke for selv at sørge for at håndtere persondata centralt, så de ikke slipper persondata ud på en ulovlig måde.
