GDPR: Klar til skrappe krav til kommunikation?

Af partner og kommunikationsrådgiver Stine Nissen. 

Kommentar, Stine Nissen

Om en måneds tid træder EU-persondataforordningen i kraft. I virksomheder og myndigheder har der længe været fokus på den bedst mulige beskyttelse af borgeres personlige data. Men når de første datalæk finder sted efter d. 25. maj er der også skrappe krav til, hvordan, til hvem og hvornår, der skal kommunikeres. Kun få har nået at forholde sig professionelt til artikel 33. og 34. i forordningen. Her udstikker forordningen kravene til den kommunikation, som virksomheder og myndigheder er pålagt i forbindelse med et læk af persondata.

Detaljerede og skrappe lovkrav til kommunikation

Forordnings krav til kommunikation i forbindelse med alvorlige læk af persondata er detaljerede og sine steder ret skrappe. Det giver god mening, da loven bl.a. har til formål at skabe større tryghed og tillid for borgerne. Derfor har borgerne fremover lovens ord for, at de har krav på hurtigt og præcist at blive orienteret, hvis deres persondata lækkes.

Forenklet: det siger loven om kommunikation: 

  • Virksomheder og myndigheder skal forstå, at de kun har persondata til låns og derfor er de i mange tilfælde forpligtede til indenfor 72 timer at orientere hver enkelt dataindehaver, hvis de mister deres personhenførbare data.
  • Virksomheder og myndigheder skal på et klart og forståeligt sprog orientere borgerne om, hvad der sket med deres persondata og hvad konsekvenserne er for den enkelte.
  • Har virksomheden eller myndigheden ikke mulighed for at kontakte hver enkelt, skal der laves en offentlig meddelelse, der tydeligt orienterer om lækket, dets konsekvenser for de berørte samt om omfanget.
  • Virksomheder og myndigheder skal detaljeret og senest indenfor 72 timer detaljeret orientere Datatilsynet om hændelsen.

Det lyder let, men …

Kravene til kommunikation i forbindelse med et læk af persondata kan ved første øjekast synes overkommelige. Men overvej det en ekstra gang!

Virksomheder og myndigheder bør have et kommunikativt beredskab, der sikrer, at de under tidspres kan analysere data, identificere dataindehaverne og kontakte dem individuelt.  De skal her ud over kunne kommunikere klart og tydeligt til f.eks. et stort antal kunder om en potentielt meget kritisk individuel krænkelse. Uden at skabe nye kriser naturligvis.

Samtidig skal virksomheden eller myndigheden i et klart sprog orientere Datatilsynet. De skal være bevidste om at efterlever lovkravene, men bør ikke unødigt offentliggøre oplysninger, der siden kan misforstås eller skabe nye historier, hvis/når de kommer til pressens kendskab. Det i sig selv er en opgave og det skal ske indenfor 72 timer.

Sideløbende her med bør man være klar til at reagere både offensivt og defensivt i pressen og på SoMe, da krænkelser af den enkelte borgers rettigheder hurtigt kan skabe shitstorms på SoMe med imagetab til følge. Og presseberedskabet bør også være super skarpt: Læk af persondata, krænkelser af borgerne og hacking indeholder alt det, der skal til for at få medieopmærksomhed.

Guf for en sensationshungrende presse

Pressens opmærksomhed omkring datalæk og hacking vil uden tvivl øges fra d. 25. maj 2018. Det kræver ikke meget kendskab til pressens arbejdsmetoder at forudsige, at pressen løbende vil søge aktindsigt hos Datatilsynet.  Hvilke virksomheder er blevet hacket den seneste uge? Hvilke danske virksomheder har behandlet forbrugernes persondata lemfældigt? Og værst af alt: hvilke virksomheder har haft større datalæk, men har ikke skønnet, at det var så alvorligt, at de behøvede orientere de berørte borgere?

Alle vil oplæg læk 

De tider er ovre, hvor man talte om, hvor stor en procentdel, der sandsynligvis ville blive hacket og miste data. Nu går man ud fra, at alle på et eller andet tidpunkt oplever at lække data enten pga. hacking eller fejl. Der er derfor god mening i at etablere et fornuftigt kommunikativt beredskab.

Niveau tilbyder b.la.

  • Samarbejde med landets førende it-sikkerhedsfirma, Dubex om beredskabsordning, der sikrer, at I inden for to timer har akut bistand fra såvel it-eksperter og krisekommunikationseksperter, der har et forudgående kendskab til virksomheden og derfor kan agere agilt.
  • Øvelser, hvor virksomhedens nøgleansatte testes i kommunikativt at håndtere et datalæk.

Øvelsen indbefatter bl.a. et tjek af om virksomheden kan efterleve  forordningens krav til breach notification. Tjek af bl.a. evnen til at reagere på og dæmpe kommunikationskriser som følge af datalæk.   Test og træning af medieoptræden samt evnen til at give presseinterview . Tjek af evnen til at samarbejde internt på tværs af afdelinger.

  • Professionel medietræning.
  • Beredskabsplaner, der bidrager til at I kan efterleve EU’s persondataforordningskrav i forbindelse med Breach Notification.

 

 

Se alle nyheder » « Tilbage til forsiden