Det betaler sig at øve sig

Persondata er big business for såvel virksomheder som hackere. Sandsynligheden for at miste persondata er stor. Så stor, at virksomheder og myndigheder i dag arbejder ud fra det scenarie, at de en dag bliver hacket. De tider er for længst passeret, hvor man kunne tillade sig at tro på, at uheldet ikke ville ramme ens arbejdsplads.

Derfor giver EU’s persondataforordning (GDPR) god mening for borgerne, der kan forvente, at såvel myndigheder som private virksomheder håndterer og opbevarer deres persondata på en sikker og ansvarlig måde.

Men EU’s persondataforordning betyder også, at borgerne bliver opmærksomme på deres digitale rettigheder, og forordnings krav til kommunikation i forbindelse med alvorlige læk af persondata er detaljerede og sine steder ret skrappe.

Forenklet er her, hvad GDPR siger om kommunikation

1./ Virksomheder og myndigheder skal forstå, at de kun har persondata til låns og derfor er de i visse tilfælde forpligtede til indenfor 72 timer at orientere hver enkelt dataindehaver, hvis de mister deres personhenførbare data.

2./ Virksomheder og myndigheder skal på et klart og forståeligt sprog orientere borgerne om, hvad der er sket med deres persondata og hvad konsekvenserne er for den enkelte.

3./ Har virksomheden eller myndigheden ikke mulighed for at kontakte hver enkelt, skal der laves en offentlig meddelelse, der tydeligt orienterer om lækket og dets konsekvenser for de berørte samt om omfanget.

4./ Virksomheder og myndigheder skal detaljeret og senest indenfor 72 timer orientere Datatilsynet om hændelsen.

Forberedelse er et must i forhold til kommunikationskriser

It-kriser, der involverer tab af persondata bliver med stor sandsynlighed kendt i offentligheden. Det skyldes primært tre forhold. For det første er borgerne opmærksomme på, at persondata er deres egen ejendom, og at de kan misbruges. For det andet har borgerne f.eks. via sociale medier let adgang til offentligt at brokke sig og beklage sig over, at deres data er lækket – og det er gode pressehistorier. For det tredje tvinger GDPR-lovkravene virksomheder og myndigheder til at kommunikere offensivt, hurtigt og offentligt om persondata-tab.

Der er med andre ord god grund til at forberede sig på, at en it-krise kan blive en kommunikationskrise. Det giver god mening at gennemføre øvelser, der tester virksomhedens evne til under tidspres at tackle en kommunikationskrise, der indeholder krav til intern kommunikation, håndtering af presse, dialog med borgere og kunder og efterlevelse af lovkrav. Øvelser er effektive med en høj grad af konkret læring.

Af Stine Nissen, partner, Niveau

Se video:

Se alle nyheder » « Tilbage til forsiden