Persondataforordningen handler også om kommunikation

EU-persondataforordningen giver danske virksomheder og myndigheder udfordringer i disse måneder. Forordningen skærper fokus på den bedst mulige beskyttelse af borgeres personlige data. Men forordningen indeholder også en række krav om hurtig og effektiv kommunikation til offentligheden og de berørte borgere i tilfælde af alvorlige datalæk.

Kommentar af Stine Nissen.

Persondataforordningen træder i kraft d. 25. maj 2018. Her efter skal alle private virksomheder og offentlige myndigheder opbevare, dokumentere og håndtere private data efter den til en hver tid ”best practice” indenfor it-sikkerhed. De fleste regler er ikke nye, men flere er skærpede i forhold til den nugældende danske lovgivning. Nyt er dog kravet om, at man indenfor 72 timer skal kommunikere offentligt i forbindelse med datalæk, der enten vurderes at være særligt omfattende eller skadelige for de enkelte. Det er også præciseret i lovgivningen, at både offentlige myndigheder og private virksomheder skal indberette alle databrud hos Datatilsynet. Der har været meget debat om slettereglen, der kræver, at man sletter alt persondata, som man ikke længere har beviseligt brug for. Slettereglen er ikke ny, men dokumentationskravet for overholdelse er skærpet. Mest opmærksomhed har det fået, at straffen er bøder helt op til 4 % af den koncernbårne omsætning eller op til 20 mio. euro i tilfælde, hvor loven ikke er overholdt.

80 %  risiko for hacking

Bødernes størrelser har fået private virksomheder og offentlige myndigheder til at lægge sig i selen for at efterleve kravene i forordningen.

It-sikkerhedseksperter estimerer, at omkring 80 % af danske virksomheder rammes af hackerangreb indenfor en treårig periode. Man kan næppe forsikre sig mod et angreb, men minimere risikoen betragteligt og forberede sig, så databruddet ikke får yderligere konsekvenser.

Krav om offentlighed

EU-persondataforordningen indeholder en række krav til kommunikation i forbindelse med datalæk. Krav, der er nye i forhold til den nuværende persondatalov.

Forordningen kræver bl.a., at virksomheder og myndigheder indenfor 72 timer skal orientere såvel myndigheder og borgere, der er berørt af et kritisk datalæk, ligesom man i visse tilfælde skal informere offentligt om datalæk.

Datalæk skaber shitstorms

Kravet om offentlig kommunikation stiller virksomheder og myndigheder i en vanskelig situation.

Man vil i visse tilfælde være tvunget til at gå offensivt ud og orientere om sikkerhedsbrud og eventuelle krænkelser af kunders, ansattes, leverandørers eller fx patienters rettigheder.  Det kræver forberedelse at løfte kravet om offentlig kommunikation på en professionel og troværdig måde.

Men pressens opmærksomhed omkring datalæk og hacking vil også øges fra d. 25. maj 2018.

Det kræver ikke meget kendskab til pressens arbejdsmetoder for at forudsige, at pressen løbende vil søge aktindsigt hos Datatilsynet.  Hvilke virksomheder er blevet hacket den seneste uge? Hvilke danske virksomheder har behandlet forbrugernes persondata lemfældigt og derved krænket borgernes rettigheder? Og værst af alt: hvilke virksomheder har haft større datalæk, men har ikke skønnet, at det var så alvorligt, at de behøvede orientere de berørte borgere?

 

Er vi klar til at kommunikere offentligt i en krise?

Allerede nu må man i danske virksomheder og myndigheder spørge sig selv, hvem i organisationen, virksomheden eller myndigheden, der har erfaring med krisekommunikation og tilrettelæggelse af et kommunikativt beredskab? Kan marketingafdelingen håndtere en kritisk presse? Er der personer i virksomheden, der er gearet til at håndtere de ramte borgeres kommentarer på de sociale medier? Er ledelsen trænet i budskaberne – og er der i virksomheden eller myndigheden lavet en drejebog, der beskriver hvem, der agerer offentligt, hvordan de agerer og hvor de agerer indenfor de 72 timer, der ifølge lovgivningen er til rådighed?

Har man ikke forberedt sig, kan et it-nedbrud, et hackingangreb eller måske en sløset omgang med private data medføre et substantielt imagetab i offentligheden og sætte virksomhedens drift yderligere tilbage pga. stadigt voksende kommunikative udfordringer.

Ikke ”nice to have” – kun ”need to have”

I bund og grund er EU-forordningens sigte, at vi i de europæiske lande skaber forståelse og respekt for, at vores private data er – ja netop – private. Borgerne låner deres data ud til virksomheder og myndigheder, der er forpligtiget til at omgå dem med største respekt og slette dem igen, når de ikke skal anvende dem længere. Min ansættelseskontrakt, der i årtier har ligget i arkivet på min gamle arbejdsplads, skal virksomheden altså kunne dokumentere, at de har slettet. Det er en krænkelse af mine private rettigheder, at de har den liggende til evig tid. Private data er fra maj 2018  ikke ”nice to have” – men kun ”need til have”.

Af Stine Nissen

Niveau tilbyder

Oplæg om persondataforordningens krav til kommunikation. Ved partnere og kommunikationsrådgivere i Niveau, Flemming Platz og Stine Nissen. Begge har årelang erfaring med krisestyring og kommunikativt beredskab.

Niveau tilbyder virksomheder og myndigheder et tjek af deres aktuelle kommunikative kriseberedskab sat i forhold til det beredskab, der måtte være nødvendigt, for at reagere professionelt indenfor 72 timer.

Endelig yder Niveau akut presse- og mediehåndtering, når krisen er indtruffet.

Niveau er partner med Danmarks førende it-sikkerhedsfirma, Dubex – samarbejdet handler bl.a. om etablering af kommunikativt beredskab, der sammen med optimale it-sikkerhedsløsninger, skal minimere risici ifm. databrud.

Yderligere oplysninger

Stine Nissen, partner og kommunikationsrådgiver. Mob. 28 26 35 36 Email: sni@niveau.dk

Europa-Kommisionen har lavet en kort guide, der introducerer til forordningens overordnede rammer. Se den her. 

 

Se alle nyheder » « Tilbage til forsiden