Bliv klar til den nye persondataforordning

Den nye persondataforordning (General Data Protection Regulation, GDPR) vil være gældende fra den 25. maj 2018. Forordningen skal bl.a. give det enkelte individ bedre kontrol over sine personlige oplysninger og i visse tilfælde give det ret til at vælge, hvordan (og om overhovedet) virksomheder kan anvende disse oplysninger.

Den nye persondataforordning stiller særlige krav til virksomheders håndtering af personlige oplysninger. Håndteres personlige oplysninger ikke korrekt, kan det betyde godtgørelse til det enkelte individ. ‘Non-compliance’ kan udmøntes i form af store bøder til virksomheder.

Det er ikke tilstrækkeligt blot at forstå overskrifterne i forordningen. Det er mere væsentligt at forstå, hvad intentionerne med forordningen er, og hvad de reelle risici er for din virksomhed.

Persondataforordningen vil resultere i udstrakte krav til håndtering af personoplysninger på tværs af enhver organisation.

I kraft af vores samarbejde med kunder fra den finansielle sektor, som forbereder sig på den nye forordning, har vi sammensat en tjekliste bestående af de væsentligste overvejelser, I bør gøre jer:

1. Hav indsigt i, hvor dine oplysninger befinder sig

Du bør have en klar forståelse af, hvilke data du opbevarer; hvorfor du har brug for dem; hvor de befinder sig, og hvem der har adgang til dem. Hvad er fx dine kilder til oplysninger, og hvordan håndterer du risikoen for duplikering, ufuldstændighed og fejl i sletning af forældede data?

2. Forstå tredjeparters anvendelse af data

Mange finansielle virksomheder deler data med tredjeparter. Det kan være kunder, leverandører, tilsynsmyndigheder eller samarbejdspartnere. Du skal kunne forstå og håndtere de iboende risici i overførsel af data til tredjeparter og sikre, at dine data er sikrede tilstrækkeligt af dem, som du deler dem med.

3. Giv indsigt til dine kunder

Beskyttelse af data er begyndt at blive en differentierende markedsfaktor. Kunderne forventer at kunne stole på den organisation, som de deler deres personlige oplysninger med, og at de kan håndtere dem på en passende måde. Transparens mellem din virksomhed og jeres kunder er afgørende.

4. Forstå, hvad ’privat’ betyder for dig

Det er vigtigt at adoptere en tværgående organisatorisk tilgang, således at persondatabes kyttelse og håndtering af personoplysninger indarbejdes i den overordnede forretningsstrategi. Du skal forstå de iboende risici, muligheder og prioriteringer for din organisation.

5. Modernisér din data-infrastruktur og governance

Hvor hurtigt vil du være i stand til at identificere alle de dataelementer, som knytter sig til et enkelt individ på tværs af din organisation? At være i stand til at møde alle relevante krav under persondataforordningen vil samtidig åbne mulighed for at udnytte den fulde værdi af de oplysninger, som du er i besiddelse af.

6. Minimér data

Anvender du data til det formål, som du har forpligtet dig til og ikke yderligere? Har du behov for at træne dine medarbejdere i begrænsninger i formålet med data? Hvordan vil du monitorere det? Organisationer skal sikre sig, at de kun indsamler de data, de lovmæssigt har behov for til de formål, som de har identificeret. Du vil måske finde ud af, at du kan reducere risici på tværs af din organisation ved varsomt at eliminere de data, du ikke har behov for, eller hvis formål er udløbet.

7. Håndtér samtykke, notifikationer og ’retten til at blive glemt’

Under persondataforordningen har alle individer ret til at kende de måder, som deres personlige oplysninger anvendes på, til hvilket formål virksomheden har brug for det, og med hvem virksomheden påtænker at dele det med. Reglerne om samtykke strammes, og individer kan til enhver tid trække deres samtykke tilbage (allerede en rettighed i dag).

Derudover har ’retten til at blive glemt’ fået meget opmærksomhed. Ingen ved på forhånd, om denne rettighed viser sig at blive populær, men den kan betyde en væsentlig byrde for virksomheder med personlige data i flere systemer. Virksomheder kan blive nødsaget til at vedligeholde omfattende datalagre, da ’retten til at blive glemt’ ikke nødvendig vis har fortrinsret i forhold til sletteregler i andre typer af finansiel lovgivning, såsom hvidvask. Dette stiller skærpede krav til adgangsstyring.

8. Forstå din grad af personrisiko og datasikkerhed

Hvilke risici er iboende i din håndtering af personlige oplysninger? Det kan være organisatoriske risici eller systemtekniske risici. Hvilke eksterne faktorer kan afbryde din forretning, og hvordan kan din cybersikkerhedsstrategi sikre, at du reagerer på dem.

9. Adoptér en agil strategi til beskyttelse af personoplysninger og data

Du bør løbende være opmærksom på den regulatoriske udvikling i og uden for Danmark i det konstant omskiftelige landskab for personoplysninger, og du bør inkorporere dine overvejelser i både forretningsplaner og strategi. Disse skal afspejle en ’end-to-end’-tilgang og dække alle enheder på tværs af hele din organisation, som behandler personlige data, der stammer fra EU.

10. Udpeg en Data Protection Officer (DPO) Mange virksomheder vil skulle udpege en DPO, som skal kunne interagere med tilsynsmyndigheder, bevare et nødvendigt niveau af opmærksomhed på tværs af organisationen, når det gælder personoplysninger, monitorere compliance med forordningen og påvirke beslutninger på senior ledelsesniveau for at kunne drive håndteringen af personoplysninger og data.

Undersøg din tilgang til håndtering af personoplysninger

For at sikre compliance er det helt afgørende, at din organisation undersøger sin tilgang til håndtering af personoplysninger og databeskyttelse i forberedelsen til den nye persondataforordning, der finder anvendelse fra den 25. maj 2018.

Der er nemlig tale om en snæver tidshorisont set i forhold til planlægning og implementering af de komplekse ændringer, der skal sikre, at I er compliant med den nye lovgivning.

Kontakt

Klaus Berentsen
Partner og head of financial services, PwC
Tlf: +45 3945 9333
Email

Følg PwC

LinkedIn
Twitter
Facebook
Youtube