25. maj er det et år siden, EU’s persondataforordning trådte i kraft. Et forløb der ikke bare har været kaotisk og kendetegnet ved manglende rådgivning og guidelines fra det offentlige, men hvor også frygten for bøder har fået danske virksomheder til at overimplementere GDPR-lovgivningen.
Samlet set endte regningen for at blive klar til GDPR alene i it-branchen på næsten 400 mio. kr. Det viser en ny undersøgelse fra IT-Branchen.
”Frygten for store bøder, mangel på vejledning fra det offentlige og det offentliges budskab om at ville være EU’s duks i forhold til håndhævelse af reglerne, har fået virksomhederne til at gå i panik og overimplementere de nye regler. Alt for mange gange er de dermed endt med at skyde gråspurve med kanoner,” siger Birgitte Hass, adm. direktør i IT-Branchen.
43,5% af it-virksomhederne fortæller da også, at de ikke har fået den støtte og vejledning fra offentlige instanser som f.eks. Datatilsynet, som de havde brug for.
Det har gjort, at 2 ud 3 virksomheder (68,1%) har måtte søge ekstern rådgivning og hjælp for at kunne blive klar til 25. maj sidste år.
25. maj var bare begyndelsen
For mange virksomheder endte 25. maj med at være en slags mållinje, som man bare skulle krydse. Derfor er det nok også kommet som en overraskelse for mange, at det også fremadrettet koster mange penge at kunne leve op til persondataloven.
En rundspørge blandt it-virksomheder viser, at man forventer en samlet årlig omkostning på en kvart mia. kr. alene for it-branchen.
”Virksomhederne har nok set 25. maj som et bjerg, der blot skulle overvindes. Nu opdager de så, at der blot var tale om det første bjerg i en uendelig bjergkæde, og at omkostningerne fortsætter så længe øjet rækker,” udtaler Birgitte Hass.
Fokuser på rådgivning i stedet for bøderegn
De høje omkostninger, og det faktum at 88,0% af it-virksomhederne nåede at blive klar, viser dog, at virksomhederne har taget implementeringen seriøst og gør en kæmpe indsats for at overholde indsatsen.
”Virksomhederne vil gerne overholde lovgivningen, og derfor er der heller ikke brug for yderligere omkostninger gennem en sand bøderegn fra Datatilsynet. Naturligvis skal banditterne kunne straffes, men at give store bøder for små fodfejl er ikke den rigtige vej at gå. Her burde fokus i stedet ligge på vejledning og hjælp,” siger Birgitte Hass.
IT-Branchen opfordrer derfor Datatilsynet til at være tilbageholdende med bødeblokken.
”Persondataforordningen er et rigtigt og et vigtigt skridt, men vi skal holde fokus på formålet; nemlig at beskytte borgernes data. Det gør vi bedst ved at sikre at virksomhederne bliver klædt bedre på til at træffe de rigtige valg,” slutter Birgitte Hass.
Der skal derfor ligge en sund risikovurdering til grund for den enkelte virksomheds tilgang til persondatabeskyttelse.
Frygt og manglende viden kan nemt føre til, at virksomheder vælger alt for omfattende og drastiske løsninger, der ikke står mål med udfordringen. Og det er dyrt – både for vores virksomheder og for samfundet som helhed.
Hvis du vil vide mere
De samlede omkostninger er beregnet ved, at vi har spurgt 159 af vores medlemsvirksomheder, der er et repræsentativt udsnit af den samlede it-branche, om deres omkostninger før og efter GDPR-loven trådte i kraft.
I gennemsnit har det kostet 4.374 kr. per medarbejder at blive klar til GDPR, mens den fremadrettede gennemsnitlige årlige omkostning forventes at blive 3.253 kr. Disse tal har vi så ganget op med antallet af medarbejdere i it-branchen i alt.
Computerworld har også skrevet om de høje tal: Her er millionregningen – Så meget koster GDPR de danske it-selskaber.
ITWatch har også skrevet om udfordringen: GDPR har kostet danske it-selskaber trecifret millionbeløb.