Citatets oprindelse er måske lidt grum, men når det kommer til ’ansvar for’ vs. ’konkret håndtering af’ personfølsomme data, må vi nok erkende, at der er noget om snakken.

Det har alle dage været af allerhøjeste vigtighed. Men med indførslen af GDPR og ikke mindst de skrækindjagende bødetakster, er korrekt og sikker håndtering af personfølsomme data for alvor kommet øverst på dagsordenen. Alle europæiske virksomheder, organisationer og offentlige instanser har det sidste år eller mere arbejdet med implementeringen af processer for at være i compliance med den nye forordning.

Det har været en lang og hård proces. Mange har nok i deres stille sind ærgret sig over niveauet af bureaukrati. Omvendt har det også været en god lejlighed til virkelig at arbejde med interne procedurer i detaljen. Og i nogle tilfælde måske ligefrem at blive bevidst om de interne procedurer og kulturer omkring håndteringen af data. Vaner kan have mange blinde vinkler.

Den nye udfordring

De fleste aktører nåede at komme på plads, inden forordningen trådte i kraft den 25. maj 2018, men så kom det næste problem. For nok har de fleste aktører nu (forhåbentlig) fået styr på egne interne processer. Men hvad med den videre håndtering? Langt størsteparten af aktører af en vis størrelse benytter sig af eksterne leverandører til fx transaktionsprint og individuel printet kundekommunikation. Det forudsætter udveksling af personfølsomme data, som den eksterne leverandør herefter håndterer.

Når samarbejdsaftaler af denne art indgås, underskriver den eksterne leverandør typisk en databehandleraftale, hvor den forpligter sig til at håndtere data jf. GDPR. Sådan en aftale kan være mere eller mindre detaljeret, give opdragsgiver forskellige mandater til kontrol og specifikationer af konsekvenser ved eventuelle brud på reglerne.

I sidste ende er det dog stadig opdragsgiveren – virksomheden, organisationen eller den offentlige instans – der står som den ansvarlige og den, der vil stå tilbage som den tabende part, hvis brud skulle forekomme. Måske med en økonomisk kompensation fra leverandøren, men stadig med en sort plet på troværdigheden og mistet tillid hos dens kunder, medlemmer og øvrige stakeholders. Det er ikke en optimal situation.

Den dataansvarlige, som benytter sig af databehandlere til at håndtere en del af deres forretning, har indledningsvis begrænsede muligheder for at sikre overholdelse fra databehandlers side; ud over en underskrift og lovning på overholdelse samt eventuelt en meget dyr egenkontrol, da dette typisk er en mulighed i databehandleraftalerne. Dette er ikke er en optimal situation

På forkant

Når GDPR er blevet omtalt i medierne og faglige kredse, er det tilbagevendende skrækscenarie et besøg fra Datatilsynet. Bøder og sanktioner kan nemlig også gives, selvom der ikke har været konkrete læk eller anden kompromittering af beskyttelsen af de personfølsomme data. Manglende styr på de interne processer er rigeligt. 

Et besøg af Datatilsynet er blevet omtalt som måden, en afsløring af det kan ske. Set fra et borgerperspektiv – altså dem, hvis data bliver håndteret – kunne man så måske se et besøg fra Datatilsynet som en stor gevinst: En præventiv indsats, der fanger problemerne, inden katastrofen sker.

Set fra aktører, der benytter sig af eksterne leverandører, kunne man se det på samme måde: Et besøg fra Datatilsynet hos den eksterne leverandør af printet kundekommunikation, kunne give vished om, at GDPR-reglerne/databehandlersaftalen nu også i praksis bliver overholdt.

Men Datatilsynet har kun begrænsede ressourcer, og det vil nok tage dem en rum tid at komme igennem alle danske virksomheder, organisationer og offentlige instanser. Det er lang tid at vente. Det er for lang tid at vente på at kunne føle sig sikker.

Man kan ikke tjekke sig selv

Vaner og kulturer kan have mange blinde vinkler, og hvis man skal være sikker på at komme ud i alle hjørner samt få tilpasset sine procedurer, så de ifølge eksperter på området, overholder GDPR, er det nødvendigt at benytte en ekstern part. En ekstern part, der – i stil med Datatilsynet – kan gå tilstrækkeligt kritisk til værks og ved, hvor problemerne typisk opstår.

Det er en erkendelse, vi også i Express har måtte gøre. Vi har erkendt, at selvom vi laver meget udførlige databehandleraftaler med vores kunder, og selvom vi altid har sat en ære i korrekt håndtering af de personfølsomme data, så er vi ikke perfekte, og vi kan have blinde vinkler.

Men vi var ikke indstillet på at vente på et besøg fra Datatilsynet. Og vi var ikke tilfredse med, at der kunne herske tvivl om den tillid, vores kunder kan have til os. Derfor gik vi til en ekstern ekspert og bad dem om at afgive en erklæring omkring vores overholdelse af GDPR reglerne. Det skete i januar 2019, hvor Express anmodede Piaster Revisorerne – et statsautoriseret revisionsaktieselskab – om at afgive en erklæring på, at Express A/S overholder GDPR-reglerne. 

Resultatet kom d. 4. februar 2019, hvor fik vi den uafhængig revisors ISAE 3000-erklæring med sikkerhed om informationssikkerhed og foranstaltninger i henhold til databehandleraftaler. Denne erklæring omhandler kontroller i forbindelse med håndteringen af personfølsomme data og dokumenterer, at leverandøren lever op til de aktuelle krav i persondataloven.

Vores kunder skal ikke bare tage vores ord for gode varer. Vi vil sikre os, at vores kunder kan have fuld tillid. Og det får man nu engang bedst, hvis man underkaster sig kritisk kontrol.