Artikel top billede

(Foto: Computerworld)

Ingen undskyldning for datasjusk

Privacykompasset er et nyt tiltag fra Erhvervsstyrelsen, der skal gøre det nemt og enkelt for danske virksomheder at tjekke, om de lever op til persondataloven.

Af Henrik Malmgreen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Flere og flere personrelaterede data suser rundt i cyberspace, alt imens et stigende antal forbrugere bliver mere og mere bekymrede over, hvor de egentlig suser hen. Den problemstilling har Erhvervsstyrelsen følt, det var nødvendigt at gøre noget ved og har derfor lanceret Privacykompasset.

Det skete for nylig i den gamle Børssal i København for mere end 150 virksomheder – oven i købet under medvirken af erhvervs- og vækstminister Troels Lund Poulsen, der pointerede, at Privacykompasset er udformet, så alle virksomheder kan få bedre udbytte af de nye, digitale forretningsmodeller, der i stadig større omfang bliver afhængige af brugen af data.

”Det er en helt ny verden, virksomhederne skal agere i, det er en verden med helt nye udfordringer og ikke mindst nye regler at overholde. Den problematik gør vi det nu nemmere for virksomhederne at håndtere”, sagde ministeren, da han i overført betydning klippede silkesnoren over og erklærede
Privacykompasset for åbent.

Gør det nemt at følge loven
Som nævnt er det Erhvervsstyrelsen, der har været opdragsgiver på projektet, men i virkeligheden er det den tidligere formand for Rådet for Digital Sikkerhed, Birgitte Kofod Olsen, der har udviklet indholdet på vegne af Erhvervsstyrelsen. Hun er partner i konsulentfirmaet Carve Consulting og fortæller, at Privacykompasset grundlæggende er et online værktøj, der skal hjælpe virksomheder med at kortlægge deres brug af persondata og efterleve persondatalovgivningen.

”Privacykompasset er også en hjælp til bedre brug af data inden for lovgivningens rammer og åbner op for, at virksomhederne på sigt kan bruge privacy som konkurrenceparameter. Det er imidlertid vigtigt at pointere, at Privacykompasset ikke er en egentlig certificeringsordning, lige som det heller ikke kan løse eventuelle sikkerhedsproblemer i virksomhederne”, siger Birgitte Kofod Olsen.

Markedsfør dig på sikkerhed
Grundlæggende er der tale om en frivillig ordning, men en ordning, som mange virksomheder givet vil gøre brug af, da Privacy-kompasset gør det enkelt for enhver virksomhed dels at teste, om man lever op til lovgivningen, dels gør det nemt at formulere sin politik for håndtering af persondata og publicere den på sin hjemmeside.

På en stadig mere global handelsplads er det således en god ting, at man også kan gemme en version af virksomhedens persondatapolitik på engelsk, når man har været gennem de i alt 17 spørgsmål, der skal svares på, før end testen er fuldført – og hvis det viser sig, at der skal rettes op på noget, kan man sætte testen på pause, mens det sker.

Ud over at Privacykompasset gør det muligt for forbrugerne at forholde sig til en virksomheds datahåndtering, kan det endvidere benyttes som vejledning til såvel samarbejdspartnere som medarbejdere.

Kan ikke lægge ansvaret fra sig
”Privacykompasset kan bruges af alle typer af virksomheder uanset størrelse og branche. Dette er første udgave, og konceptet justeres måske hen ad vejen, når den nye EU lov –
”General Data Protection Regulation”– er trådt i kraft.

Men skåret ind til benet handler det om at få styr på datas livscyklus og forholde sig til, hvor mange data, der egentlig er nødvendige for, at vi som virksomhed kan drive vores forretning. Kan vi f.eks. skære ned på dataregistreringen? Det er nogle af de tanker, vi hele tiden skal reflektere over”, siger Birgitte Kofod Olsen.

I den forbindelse understreger hun, at fordi en virksomhed har udfyldt sin egen checkliste via Privacykompasset, er det ikke sikkert, den vil kunne leve op til de nye og skrappere krav i den nye EU-lov. Således tager Erhvervsstyrelsens test eksempelvis ikke højde for, om virksomheden er nødt til at ansætte en Data Protection Officer, ligesom virksomheden fortsat har pligt til selv at tjekke, om man er i en branche, hvor der stilles særlig skærpede krav.

COOP bruger Privacykompasset
En af de danske koncerner, der i stor stil gør brug af persondata, er COOP. Ved præsentation af Privacykompasset fortalte programudviklings- og compliancechef Birgit Schwarz Poulsen, hvorledes COOP bruger kundedata til at optimere deres butikker og personalisere tilbud til deres kunder, hvad det betyder forretningsmæssigt, og hvilke etiske overvejelser, virksomheden gør sig undervejs. Medlemskort blev lanceret i 1995 og benyttes i dag til at markedsføre såvel de fysiske butikker som webbutikker, mobilselskab og bank samt ikke mindst medlemstilbud og medlemsfordele. Ifølge Birgit sker dette dog anonymt, da man mest benytter data til forretningsudvikling i form af butiksplanlægning, logistikstyring, registrering af indkøbsmønstre etc. Når man siger ja til at få et medlemskort, siger man også ja til, at COOP må bruge ens data. Kunden kan ganske enkelt ikke sige nej. Og hvad mener kunderne om det i dag? Birgit Schwarz Poulsen er godt klar over, at et sådant éngangssamtykke måske ikke helt holder længere og, at det bliver nødvendigt at differentiere samtykkeprocessen i takt med at stadig flere loyalitetsprogrammer popper op på eksempelvis de sociale medier.

AOD03_erhverv02

Blip Systems i den store mediemølle
Blip Systems er et af de firmaer, der pludselig en morgen vågnede op og fandt sig selv i den store mediemølle, fordi de – uden at vide det – overtrådte persondatalovgivningen. Firmaet blev etableret tilbage i 2003, da ti medarbejdere i Ericsson overtog Bluetooth-produktet Blipnet, og i dag beskæftiger man sig med tracking og registrering af intensiteten i persongennemstrømningen i eksempelvis lufthavne og på banegårde. Det sker blandt andet via små bokse, der opsnapper mac-adressen fra mobile enheders Wi-Fi- og Bluetooth-signaler, og selvom det ikke er muligt at identificere den enkelte bruger ud fra mac-adressen, må den ikke indsamles uden brugerens accept. En kold januar dag i 2015 fandt man ud af, at det er en klokkeklar overtrædelse af det såkaldte cookie direktiv. ”Vi anede grundlæggende ikke hvad hele balladen egentlig handlede om, og da vi blev ”opdaget” forestod flere måneders teknisk tilpasning samt ikke mindst dialog med Erhvervsstyrelsen. I starten vidste vi nok ikke rigtig, hvad vi måtte, for når man bevæger sig på forkanten af den teknologiske udvikling, handler det meget om mavefornemmelse”, siger firmaets direktør Peter Knudsen.

AOD03_erhverv03

FAKTABOKS:
Privacykompasset er en vejledning til virksomhederne – ikke en blåstempling eller certificering af en virksomheds datahåndtering. Datatilsynet og Erhvervsstyrelsen, der er tilsynsmyndigheder på henholdsvis den danske persondatalov og E-databeskyttelsesdirektivet, kan således til hver en tid føre tilsyn med og sanktionere de virksomheder, der ikke overholder lovgivningen. Privacykompasset er en konkret udmøntning af den brede politiske aftale om vækstplan for digitalisering af Danmark og blev vedtaget under Vækstplan for digitalisering i februar 2015.