Den danske GDPR virksomhed Data & More arbejder med at finde, informere om og slette ulovlige data, som man ikke må opbevare ifølge lovgivningen. For det er stigende problem hos danske organisationer.
Data & More så dagens lys i 2016, der til dagligt er beskæftiget med at hjælpe bl.a. danske organisationer med at finde og slette de store mængder ulovlige data, som igennem mange år er blevet indsamlet, men aldrig slettet – stik imod dansk lovgivning. Direktøren fra Data & More kalder de ulovlige data for ”gammel arv og gæld”. “Potentielt er alle danske organisationer vores kunder, fordi så godt som alle ligger inde med store mængder data, som de ikke må have. Der kan være mange grunde til, at en organisation ligger inde med de data, men det kan desværre have store konsekvenser, hvis man ikke får ryddet op i det i tide,” siger direktør i Data & More, Andreas Strøbek.
Og netop data er med tiden blevet det afgørende punkt for mange organisationer, når det kommer til GDPR-lovgivningen. Datatilsynet har i disse år stort fokus på at danskernes data og personlige oplysninger bliver opbevaret, som loven foreskriver, og derfor kan det komme til at koste danske virksomheder dyrt, hvis de ikke har helt styr på at opbevare data korrekt.
“Alle har jo en travl hverdag, og der har sjældent været tid og fokus på oprydning før GDPR, så mange overtræder lovgivningen uden at ville det. Der kommer vi ind i billedet. Vi hjælper dem med at sikre, at de får ryddet op i overensstemmelse med lovgivningen,” siger Andreas Strøbek.
Ingen undskyldning for ikke at rydde op
Data & More startede med en løsning, der var særligt målrettet organisationer med mere end 250 medarbejdere. Siden har Data & More suppleret med løsninger, også til de helt små virksomheder, så der ikke længere er undskyldning for ikke at få ryddet op på en effektiv måde.
“Vi er i berøring med stort set alle CPR-numre i landet, når vi arbejder med for eksempel kommuner, pensionsselskaber, fagforeninger og andre, der ligger inde med store mængder data. På baggrund af oprydning de sidste 4 år i mere end 1 mia datasæt kan vi se at omkring 5-7 % af al data i mails og fildrev er ulovlig, så det er utrolig vigtigt at få ryddet op,” siger Andreas Strøbek. Samtidig fortæller han, at det ofte er meget alvorlige former for data, som organisationerne ligger inde med.
“Det kan være lister over handicappede, bopæl for indvandrere, kunders helbred, finansielle oplysninger, billeder af vores id-kort og selvfølgelig vores cpr-numre. Kort sagt; meget private og følsomme oplysninger, vi som privatpersoner har. Det er oplysninger, som organisationen har skulle bruge i en eller anden helt legitim sammenhæng tilbage i tiden, men som så ikke er blevet slettet igen.”
Andreas Strøbek fortæller samtidig, at mange organisationer ikke er fuldt opmærksomme på, hvor store mængder ulovlig data, de har i gemmerne. Han slår fast, at virksomhederne ikke bevidst opbevarer kundernes og borgernes private oplysninger ulovligt, men at det tværtimod sker pga. travlhed eller manglende kendskab til lovgivningen, eller måske bare forglemmelse. “Meget data ligger faktisk opbevaret, fordi man aldrig har prioriteret sletning. Ofte er det data, der er blevet opbevaret forkert eller slet og ret glemt. Men når vi foretager en gennemgribende scanning af virksomheden, så bliver det fundet og slettet,” siger Andreas Strøbek.
Konsekvensen ved at lade være
Flere og flere danske virksomheder har fået øjnene op for nødvendigheden af at være up-to-date med GDPR-lovgivningen, og er ikke mindst blevet opmærksomme på konsekvenserne af at lade stå til. Der har de seneste år været flere eksempler på virksomheder, der er kommet galt afsted som følge af dårlig opbevaring af data. For eksempel fik H&M en stor bøde, fordi de havde opbevaret medarbejdernes MUS-samtaler, personlige informationer om famlieliv m.m, som blev delt med de andre ledere. Derudover har der været eksempler på virksomheder, der havde medarbejdernes og kunders personlige oplysninger liggende længe efter, at medarbejderne havde fået nyt arbejde eller kunderne var stoppet med at være kunder.
“Man skal huske på, at vores egne private data er noget, organisationerne har til låns, så længe de har brug for dem for at overholde lovgivningen. Når fristen er udløbet skal oplysningerne slettes, for det er dine oplysninger, og ikke deres,” siger Andreas Strøbek.
Han fortæller samtidig, at mange virksomheder har udskudt at gøre noget ved deres oprydning, fordi det kan forekomme uoverskueligt og der ikke har været ordentlige løsninger. Og da priserne på hardware er meget lave, har mange løst problemet ved at købe sig plads til endnu flere mails, flere dokumenter osv, frem for at gå i gang med at slette deres data.
“Datatilsynet er meget opmærksomme på, at danskernes data bliver opbevaret korrekt. Og det kan giver store bøder, hvis loven ikke bliver overholdt. Samtidig frygter mange kundeflugt, hvis de har problemer med opbevaring af deres kunders data. Det er derfor, de kontakter os,” siger Andreas Strøbek.
Der er flere generelle initiativer på vej for at gøre det lettere for privatpersoner at vide sig sikker, når man afleverer sine personlige oplysninger – Bl.a ”D-Mærket”, som er en form for smiley-ordning, men med fokus på bl.a. data-ansvarlighed, som kan hjælpe os som forbrugere, inden vi handler med en virksomhed.
”For mange er det en overraskelse, hvor meget ulovlig data, de ligger inde med. Vores erfaring er, at mange faktisk gerne vil rydde op, men ikke får det gjort i tide, fordi det er en stor og uoverskuelig proces. Man kan sammenligne det med, at vi andre skal rydde op i vores mails for første gang. Det orker de færreste jo ikke at gå i gang med – og så venter fildrevet endda bagefter,” siger Andreas Strøbek.
Et samarbejde med Data & More sparer altså først og fremmest virksomhederne det, de allerhelst vil spare i forhold til oprydningen: Tid.
“Tid er ofte en afgørende faktor i, hvorfor man udskyder oprydningsarbejdet angående data. Skal man have alle medarbejdere i en virksomhed til at rydde helt op i deres mapper, mails og andet, så vil det tage lang tid i en travl hverdag, og ofte har medarbejderne heller ikke ekspertisen til at vurdere, hvad der er lovlig og ulovlig data. Vi ser endda, at der kan være spild af tid at gøre det manuelt,” siger Andreas Strøbek.
”Og så er det dyrt. En hurtig hovedregning fortæller, at har du som medarbejder bare 10.000 mails eller dokumenter, tager det dig alligevel 45 timer at rydde op manuelt.
Lære af erfaringer
Grunden til at Data & More er en så effektiv samarbejdspartner, når der skal ryddes op i virksomhedens data, er blandt andet, at den løsning, som Data & More tilbyder er baseret på scanninger af 1 mia data og bliver stadig mere effektiv, jo flere virksomheder de samarbejder med.
“Vores service er sådan indrettet, at den bliver udbygget og bedre hver eneste gang, vi samarbejder med en ny kunde. Vi tager altid udgangspunkt i den enkelte kunde, og derfor lærer vi også meget ved hvert eneste samarbejde. Når en kunde har brug for en særlig service, eller har nogle særlige krav, så efterkommer vi deres ønsker, og er således klædt endnu bedre på til den næste kunde.” siger Andreas Strøbek.
”Så vi starter altid ud med den bedst tænkelige opsætning for kunden med masser af GDPR-søgninger som standard. Vi kender kort og godt den rejse, nye kunder skal ud på, inden vi går i gang, fordi vi har hjulpet så mange andre før dem” siger Andreas Strøbek.
Han og resten af Data & More ser også store muligheder for fremtiden, og ikke mindst for at komme yderligere ud over landets grænser, og hjælpe organisationer i hele Europa med at rydde op i deres ulovlige data. Andreas Strøbek anslår, at problemet med opbevaring af ulovlig data er et endnu større problem mange steder i Europa, end det er i Danmark.
“En af vores fordele her i Danmark er, at vi tager GDPR meget alvorligt, og at vi reagerer på ny lovgivning, gerne vil efterleve reglerne og derfor ofte er førende indenfor dette område. Det kan vi drage nytte af, og det kan naturligvis hjælpe os til at hjælpe med at få styr på data i Europa og resten af verden.”
