Databeskyttelsesforordningen (GDPR) har været gældende i over fire måneder, men en hel del virksomheder har endnu ikke afsluttet deres GDPR-initiativer og påbegyndt en reel drift.

Den 25. maj 2018 trådte databeskyttelsesforordningen (GDPR) i kraft efter en transitionsperiode på to år, hvor virksomheder, organisationer og myndigheder har haft tid til at forberede sig.

På trods af transitionsperioden oplever Deloitte, at mange virksomheder endnu ikke har afsluttet deres GDPR-projekter eller programmer, ligesom mange endnu ikke er gået ind i en reel driftsfase.

Udfordringerne er både administrative, ressourcemæssige og tekniske. De omfatter såvel udfordringer med at hyre kvalificeret personale til at håndtere GDPR-kravene, at gøre de rette dele af organisationen opmærksomme på ændringerne, implementere sletteprocedurer i legacy-systemer og skabe den fornødne governance samt change management på tværs af organisationen.

Governance er afgørende
Selvom mange GDPR-projekter endnu ikke er afsluttet, er det afgørende, at særligt større virksomheder, organisationer og myndigheder får opbygget en tilstrækkelig stærk governance-organisation til at kunne håndtere GDPR i praksis.

En væsentlig risiko ved manglende governance er ikke kun overtrædelse af flere regler, men også at de foranstaltninger, som er blevet implementeret som led i et GDPR-projekt, tilbagerulles eller bliver virkningsløse.

GDPR-governance bør i større organisationer håndteres som et selvstændigt spor, der er en del af et samlet compliance-program, med tilstrækkelige ressourcer.

Change management og awareness er essentielt
For at sikre den langsigtede efterlevelse af GDPR-kravene er det nødvendigt, at virksomhederne i de kommende år bruger tilstrækkelige ressourcer på at sikre, at forandringen forankres tilstrækkeligt i organisationen. Det kræver, at medarbejdere er tilstrækkeligt inde i omfanget af reglerne, således at de løbende kan håndtere og anvende persondata.

Sikkerhed er et overset emne i mange GDPR-projekter
Flere GDPR-projekter, der udelukkende har været compliance-drevet, har i vidt omfang enten gået uden om eller kun i mindre omfang berørt teknisk og organisatorisk sikkerhed.

Risikoen for overtrædelse af GDPR-reglerne, cyberangreb og generelle sikkerhedsbrud, forøges væsentligt, hvis sikkerhed ikke adresseres som led i GDPR-projekter. Flere virksomheder og organisationer har her et efterslæb, som vil skulle adresseres i den nære fremtid – også med det in mente at sikkerhed er et fokusområde for Datatilsynet.

Datatilsynet: De første bøder kommer i efteråret eller vinteren 2018
Datatilsynet offentliggjorde i juni en emneliste for planlagte tilsyn i 2018. Blandt de emner, som Datatilsynet vil fokusere på, er bl.a. behandlingsgrundlag og sikkerheden hos private virksomheder, sletning af personoplysninger hos private virksomheder, sikkerheden i større it-systemer på sundhedsområdet og udpegning af databeskyttelsesrådgivere.

Herudover har Datatilsynets direktør i august meddelt, at det forventes, at de første bøder vil komme i løbet af efteråret eller vinteren 2018. Det er dog endnu uklart, hvilke emner og overtrædelser der vil være genstand for de første bøder.