Rapport: Danske virksomheder skal have bedre styr på deres persondata

”Man er nødt til at få det tænkt ind i forretningen. Det handler både om hvad data betyder for virksomheden, og om hvordan virksomheden er afhængig af tillid fra kunderne, når det gælder behandling af data”.

Læs også: Amazon vil assistere lagerarbejder med armbånd, men møder kritik

Sådan har partner i Carve Consulting og ph.d. i IT og privacy, Birgitte Kofod Olsen, tidligere sagt til CSR.dk om de nye regler, der bliver aktuelle for en lang række danske virksomheder, når EU’s forordning om persondatabeskyttelse, GDPR, træder i kraft den 25. maj.

I den anledning har netop Carve Consulting udfærdiget en rapport, der så at sige gøre status over de danske virksomheders indsats i forhold til håndtering af persondata i relation til både ledelse og kommunikation på området, foruden de retlige forpligtelser.

Udgangspunktet er 63 børsnoterede danske selskaber og to aspekter af deres arbejde; dels omkring offentliggørelse af persondata- og cookiepolitik på deres respektive hjemmesider, og dels hvorvidt virksomhederne oplyser om deres indsats for persondatabeskyttelse i års- og CSR-rapporter eller gennem andet tilgængeligt materiale online.

Store virksomheder er bedst, men mangler skaber undren
De 63 virksomheder er registrerede i tre forskellige indekser på Nasdaq OMX Copenhagen (C25, Large Cap- og Mid Cap-indekset), og her konstaterer analysen en generel ”sammenhæng mellem indeksets størrelse, og hvor meget der oplyses om persondatabeskyttelse, og om tilgængeligheden til politikker om persondata og cookies på hjemmesiden”. Jo større virksomhed, jo flere informationer.

Videre konkluderer rapporten at ”kun tre virksomheder, nemlig Coloplast, ISS og Nets, opfylder på samtlige af undersøgelsens fem parametre”, og at 10 procent af virksomhederne har oplyst om deres indsats om persondataforordningen i den finansielle årsrapport, mens 16 procent har oplyst om indsatsen i CSR-rapporten.

Læs også: Flere og flere whistleblowerordninger i Danmark

Eksempelvis bemærker rapporten undervejs, at det ”kan undre, at otte af de største danske virksomheder ikke har nævnt persondatabeskyttelse i deres årlige rapportering (A.P. Møller, Bavarian Nordic, Chr. Hansen, Danske Bank, DSV, FLSchmidt, Pandora, Sydbank), eftersom den økonomiske risiko for disse virksomheder er potentielt stor (…)”.

Disse potentielle, negative økonomiske konsekvenser ved som virksomhed ikke at have styr på sin persondatahåndtering omfatter bl.a. tilliden mellem kunder og medarbejdere, og opfattelsen af selskabets brand som helhed. Dertil kommer mulige bøder på op til 150 mio. kr., risikoen for at skulle stoppe sine aktiviteter, og for klagesager ved fx lækager.

Konkurrencefordel for de gode
I rapportens forord påpeger forfatterne at en del af forpligtelserne i GDPR ”rammer ind i kernen af opgaver, der allerede i dag gennemføres af bestyrelse og ledelse for at overholde selskabsretlig lovgivning [og] anbefalinger om god selskabsledelse”, og at forordningen med sine ”krav til transparens og dokumentation (…) placerer sig solidt i et governance, risk & compliance-univers”.

Derfor fremhæver rapporten også, hvordan persondatabeskyttelse potentielt kan udnyttes til at opnå konkurrencemæssige fordele for de virksomheder, der håndterer området bedst. Det omfatter ikke kun at have fod på reglerne, men også at ”den organisatoriske praksis [er] på plads, og en krumtap her er viden og transparens samt en adfærd og kultur, der fremmer god databehandlingsskik.”

Læs også: Har to danskere produceret den hellige ESG-datagral?

På den baggrund håber Carve med rapporten at ”kunne inspirere til en systematisk og integreret indsats for databeskyttelse, der baserer sig på principper for god ledelse, risikostyring og compliance og er forankret i en datakultur, man som virksomhed kan se forretningsinteressen i og er stolt af at kunne omtale i sin årsrapport.”

-AK