Der er mange grunde til at GDPR-kompetencer bør løftes op på bestyrelse-niveau, ligesom IT blev det for 20-30 år siden. Digitalisering kan ikke forstås uden databeskyttelse og er af strategisk betydning for din virksomhed, som kan bruge databeskyttelse offensivt til at styrke konkurrencesituationen. I det følgende beskrives hvorfor bestyrelsen bør interessere sig for GDPR.

Indlæg fra Per Chrom Jacobsen, Investment banker, iværksætter og bestyrelsesmedlem med mere end 10 års erfaring fra den digitale dagsorden og grøn omstilling.

GDPR har jubilæum!

EUs persondataforordning (GDPR) har lige fejret sin 3 års fødselsdag og med EU's datasikkerhedsforordning (ePrivacy Regulation) lige på trapperne, er hvedebrødsdagene for danske virksomheder ved at være til ende.

Bestyrelsen har formelt to opgaver i forbindelse med databeskyttelse – kontrol og sparring.

Er din virksomhed klar til EU's nye Datasikkerhedsforordning (ePrivacy Regulation)?

ePrivacy Regulation er EU's udbygning af GDPR med fokus på privatlivsbeskyttelse af data når de transmitteres elektronisk. Formålet er at beskytte kommunikationshemmeligheden og fortroligheden og integriteten af brugernes terminaludstyr. Kort sagt skal brugerne beskyttes mod at blive udspioneret uden deres viden, når de besøger et websted eller bruger en e-mail eller messenger-tjeneste (herunder cookies, device ID, IoT kommunikation og identifikations software). Forordningen bliver antageligt vedtaget i efteråret 2021. Hvis din virksomhed har ”kæmpet” med GDPR de sidste 3 år, så er mit budskab, at EU løfter barren, og at du lige så godt kan komme i gang med en offensiv strategitilpasning!

Hvad er et fair honorar til min virksomhed?

Besvar 4 hurtige spørgsmål og få et kvalificeret estimat
- det tager kun 2 minutter!

Databeskyttelse som en integreret del af virksomhedens strategi

I den digitale verden er data guld, og guldet skal man som bekendt passe på.

I GDPR er beskyttelsessubjektet brugeren, men virksomhedens ”gold-mining” kan ikke ske med mindre brugerne er trygge ved at give deres samtykke og har tillid til, at virksomheden med lovlighed, rimelighed og gennemsigtighed opbevarer, bruger og evt. deler deres data. Et trygt miljø er altså forudsætningen for at hive værdi ud at nettet. Specielt hvis din virksomhed bruger eMarkedsføring. Med GDPR og ePrivacy som vilkår, hvilke muligheder har din virksomhed så for at bruge GDPR og ePrivacy som løftestang til at skabe konkurrencefordele? Nedenfor nævner jeg nogle overvejelser som alle har betydning for virksomhedens strategi og konkurrence:

• Persondatabeskyttelse som konkurrenceparameter: Undersøg om datasikkerhed skal gøres til en del af dit brand og en del af dit tilbud til forbrugeren. Dette kunne være privacy by design, ingen tredjeparts cookies, fremhævet portability, ekstra sikkerhed ved transmission og opbevaring, mm. Brancher med fokus på image og tryghed, hvor dette kunne være relevant, er on-line bank og pensionsprodukter f.eks. North Investments eller online sikkerhedsløsninger som 1Password, passwordmanageren som har gjort det til en dyd, at ”hoste”, men ikke selv have adgang til kundens data.

• GDPR compliance og LEAN: GDPR compliance kræver en fortegnelse over selskabets IT-systemer, databehandlingsprocedurerne samt database, server og internet struktur. GDPR giver god indsigt i virksomhedens arbejdsgange, og en LEAN proces kan med fordel køres sammen med GDPR, således at mest muligt forenkles og automatiseres.

• IT omkostninger: GDPR og IT omkostninger er tæt forbundet, især for små virksomheder. I stedet for at GDPR-lappe på systemerne, bør systemudgifterne løbende, f.eks. i forbindelse med GDPR-årshjulet, også vurderes. Der findes efterhånden mange GDPR-forberedte programmer, som samtidig er fleksible og effektive. Microsoft 365 er et godt eksempel på en sådan programpakke. Alternativt, vil det kræve betydelig organisatorisk overblik og kompetence for en SMV’er at opbygge systemer, der er GDPR compliant.

• Cybersecurity: Cybersecurity er helt centralt for virksomheden og dens overlevelse. Her kunne GDPR også være omdrejningspunktet for at sikre en løbende opdatering. Evt. med inspiration fra ISO 27001, som er industristandarden for styring af informationssikkerhed. Men for SMVer er ISO27001 en tung standard og de er ofte bedre tjent med at koble cybersecurity vedligeholdelsen op på deres GDPR rutiner.

• Marketing og kundeengagement: Ledelsen må grundlæggende finde veje til at transformere GDPR-investeringerne til branding og strategisk markedsføring. Mange "online-marketing campaigns” opnår elendige ”opt-in rates” på grund af ”cookie settings”. Ledelsen må optimere en brugerrejse, som på kreativ måde opnår samtykke til fremtidig kontakt. Nøgleordet her er at engagere kunden i virksomheden og dens produkter over tid, en decideret samtykkestrategi og en marketingbevidst formulering af samtykkeerklæringen.

• Organisatorisk forankring: Lad aldrig kun HR eller den administrative afdeling være ansvarlig for GDPR. Salg/marketing skal placeres centralt i det tværfaglige arbejde, hvor HR/admin, den GDPR ansvarlige og IT naturligvis også skal deltage, ellers bliver GDPR udelukkende jura og kommer til at spænde ben for online indsatsen.

Bøder på op til 4% af den globale omsætning

Det er ikke kun Datatilsynet, der vil skrue bissen på i fremtiden. Selveste GDPR-aktivisten Max Schrems (www.noyb.eu) har i juni 2021 lanceret en kampagne, ”cookie banner terror” med indberetning til myndighederne af 500 store og små EU-virksomheder, som overtræder Cookie-bestemmelserne i GDPR. Schrems’ plan er at indberette 10.000 alene i 2021. Det kan være et incitament i sig selv at undgå en bøde, som i alvorlige tilfælde kan løbe op i 4% af virksomhedens globale omsætningen, men det er ofte et incitament eller løsning, der er løsrevet fra virksomhedens samlede strategi.

Uanset om virksomheden handler passivt på EU's forordninger - ”just compliant”, eller den aktivt vender GDPR til forretningsmuligheder, skal der være kompetence oppe i bestyrelsen, som forstår GDPR-problemstillingen i sammenhæng med digitalisering og både kan kontrollere compliance og sparre om forretningsudvikling, der også omfatter databeskyttelse, i en dynamisk digital verden.

...

Har du spørgsmål til artiklen, til nBoard generelt eller skal du selv i gang med at rekruttere? Kontakt os på info@nboard.dk eller på telefon 42 70 71 81. Du kan også læse mere om et nBoard opslag eller undersøge muligheden for at få lavet en shortlist. Hvis du selv ønsker at gå på jagt i vores database, kan du søge på kandidater via vores søgefilter. Er du endnu ikke kandidat, kan du oprette en gratis profil.