ITU-forsker: Brug persondataforordningen til at styrke forretningen
Virksomhederne bør få øjnene op for de forretningsmæssige gevinster, der kan følge med et bedre overblik over indsamlede forretningsgange og persondata. Sådan lyder budskabet fra lektor Thomas Hildebrandt, der holder oplæg til IT-Universitetets arrangement om EU’s persondataforordning fredag den 15. september.
Institut for DatalogiEventsit-sikkerhedprivacy
Skrevet 11. september 2017 08:17 af Vibeke Arildsen
Der er ingen vej uden om. Fra maj 2018 skal alle danske virksomheder og organisationer leve op til en række nye krav om beskyttelse af borgernes personlige oplysninger, og der vanker store bødestraffe til dem, der ikke overholder reglerne.
Men i stedet for at se persondataforordningen (GDPR) som ren pisk, bør virksomhederne se den nye lovgivning som en enestående chance for at få styr på arbejdsgangene og komme i gang med at bruge deres data til at optimere forretningen, mener Thomas Hildebrandt, som forsker i agil digitalisering af it-systemer på IT-Universitetet.
”Virksomhederne bør bruge GDPR som en anledning til at få styr på, hvad de egentlig gør, og ikke kun fokusere på de straffe, der er forbundet med at overtræde lovgivningen. Der er værdi i persondata, og et overblik over de data, virksomheden ligger inde med, kan virksomheden bruge til at tjene penge på. Det kunne være, at man finder mønstre i kundernes opførsel, som kan udnyttes forretningsmæssigt. Så længe man anonymiserer data, så den ikke kan spores tilbage til en enkeltperson, må man analysere lige så tosset, man vil. Derudover kan der være optimeringsmæssige gevinster i at opdage og sløjfe aktiviteter, som ikke gavner forretningen,” siger han.
Krav om privacy by design
Til ITU-arrangementet vil Thomas Hildebrandt særligt fokusere på ’privacy by design’, som med GDPR bliver et lovkrav. Det vil sige, at organisationernes it-systemer skal sikre, at reglerne for indsamling og opbevaring af persondata bliver overholdt, for eksempel ved at sørge for, at kunden først indtaster sine oplysninger efter at have været forbi en tilsagnserklæring.
It-systemerne skal også sikre, at virksomheden rent faktisk også kun bruger oplysningerne til det formål, kunden har givet tilladelse til. Det lever mange virksomheder i dag ikke op til, fordi de kører efter ’privacy by policy’-princippet, hvor man blot lover ikke at misbruge kundens data.
Når GDPR træder i kraft skal virksomheder kunne dokumentere, at det er umuligt for eksempel at udsende et nyhedsbrev til en kunde, hvis ikke vedkommende har givet tilladelse til det.
Thomas Hildebrandt, lektor på ITU
”Når GDPR træder i kraft skal virksomheder kunne dokumentere, at det er umuligt for eksempel at udsende et nyhedsbrev til en kunde, hvis ikke vedkommende har givet tilladelse til det. Det kan man i praksis kun gøre ved at designe systemet, så de data, der blev indtastet i en bestemt proces, ikke kan slippe ud af den sammenhæng,” siger Thomas Hildebrandt.
Fleksible it-systemer kan sikre compliance
Der findes allerede i dag systemer, der sikrer at reglerne for håndtering af persondata overholdes. Ifølge Thomas Hildebrandt er problemet dog, at disse systemer er baseret på rutediagrammer som kræver, at arbejdsopgaverne udføres i en bestemt rækkefølge.
”I virkelighedens verden vil man ofte være nødt til at afvige fra ruten. Så begynder folk at arbejde uden for systemet og skrive ting ned på papir. Dermed er man ikke længere compliant, fordi man ikke kan gøre rede for, at reglerne overholdes,” siger han.
I samarbejde med virksomheden Exformatics har Thomas Hildebrandt derfor udviklet et processtyringsværktøj, som både er fleksibelt og sikrer at reglerne for behandling af persondata bliver overholdt. Værktøjet kan både bruges til at kortlægge, vedligeholde og kontrollere indsamling og brug af data.
Thomas Hildebrandt råder virksomhederne til at få styr på persondataindsamlingen med det samme – også selvom GDPR indeholder en gummiparagraf om, at reglerne kun gælder i forhold til en sikkerheds- og prismæssig vurdering.
”Hvis det er urimeligt dyrt at overholde en regel, bliver udgiften holdt op mod risici ved at data kommer ud. Men på sigt vil det blive billigere og billigere at overholde reglerne, fordi der kommer nye it-systemer, der kan overholde reglerne, og så holder det argument ikke længere. Det vil ikke være muligt at slippe udenom i det lange løb,” siger han.
Thomas Hildebrandt, lektor, telefon +45 7218 5279, email hilde@itu.dk
Vibeke Arildsen, presserådgiver, telefon 2555 0447, email viar@itu.dk