Risici og persondata – store danske virksomheder fremstår ubekymrede
De største danske børsnoterede virksomheder viser kun i begrænset omfang, at de håndterer persondata som risiko. En seriøs datakultur bør kunne genfindes i virksomhedens årsrapport og CSR-materiale og i en offentligt tilgængelig persondatapolitik.
Virksomheder, der vil tage privatlivsbeskyttelse seriøst, har brug for en datakultur i virksomheden, der omfatter både ansatte og topledelsen. Carve Consulting har udarbejdet en rapport om de 64 største børsnoterede danske virksomheders persondatakultur, som den kommer til udtryk i politikker og i årsrapporter og CSR-materiale. Rapporten tegner et mindre flatterende billede af virksomhederne, selv i brancher med omfattende persondatabehandling.
Virksomheder bør erkende risici ved persondatabehandling
Behandling af persondata udgør for mange virksomheder en risiko for imagetab blandt kunder, investorer og andre interessenter. Virksomhederne kan bruge årsrapporten til at signalere dataansvarlighed over for brugere, aktionærer og samarbejdspartnere. Men de gør det kun i begrænset omgang.
Det er et lovkrav, at virksomheder beskriver deres risici og håndtering af dem i årsrapporten. I årsrapporterne for 2017 er der imidlertid overraskende få – færre end 1 ud af 3 virksomheder, der oplyser om de risici, der knytter sig til kravene i EU’s nu gældende persondataforordning, GDPR.
Brugernes risici bør tages alvorligt
Det er et krav i den nye person-dataforordning, at en virksomhed overvejer, om databehandlingen kan have negative konsekvenser for den enkeltes privatliv og øvrige frihedsrettigheder. Efter den danske årsregnskabslov er det derudover et krav, at virksomheder redegør for deres samfundsansvar for at respektere menneskerettighederne. Det omfatter bl.a. beskyttelsen af privatliv og persondata – begge rettigheder, der i dag presses af de store mængder af data, der bliver indsamlet, analyseret og fx brugt til profilering af kunder.
Ved åbent at forklare om de risici, der er forbundet med virksomhedens persondata-behandling, viser virksomheden, at den tager sit ansvar alvorligt. Set i det lys, fremstår danske virksomheder ikke særlig ansvarlige – under en tredjedel har skrevet om persondatabehandling i relation til den persondataforordningen i deres CSR-materiale.
Banker og forsikringsselskaber
Nogle virksomheder forventer vi, er særligt gode til at passe på vores persondata og på at styre og reducere deres risici. Banker og forsikringsselskaber anvender i stort omfang persondata til leve-ring af deres services. Data-behandlingen i disse virksomheder er ofte forbundet med høj risiko for kunden, blandt andet fordi virksomhederne behandler følsomme data, foretager kreditvurderinger og anvender profilering.
På trods af den intensive databehandling i den finansielle sektor, rapporterer banker og forsikringsselskaber i mindre grad end den gennemsnitlige børsnoterede virksomhed på risici ved persondatabehandling.
Mindre end 1 ud af 3 banker og forsikringsselskaber beskriver i årsrapporten og CSR-materialet persondataforordningens nye krav som en risiko, der skal håndteres. 70 pct. af de finansielle virksomheder fortæller ikke til brugere eller aktionærer, at de arbejder aktivt med disse risici.
Åbenhed om, hvordan data indsamles og behandles
Fra i morgen bliver det et krav, at virksomheder der behandler persondata, oplyser om behandlingens omfang og formål. Det kan bl.a. gøres gennem en persondatapolitik. En person-datapolitik, der er synlig og lettilgængelig på hjemmesiden hjælper brugerne til at forstå, hvilke data, der indsamles og hvad de bruges til. Det hjælper dem med at bruge deres ret til at kontrollere egne data. I dag har 3 ud af 4 virksomheder en offentlig tilgængelig persondatapolitik.
Cookies på hjemmesider indsamler mange informationer om brugeren, og brugeren har krav på at forstå, hvad der indsamles. Det er et lovkrav at beskrive cookies på hjemmesiden, og det gør 91 pct. af virksomhederne.
Niveauet for politikker i virksomhederne ligger på et niveau som forventet. De fleste har tilgængelige politikker.
Læs mere i selve rapporten
Den rapport Carve Consulting har udarbejdet, tyder på, at rigtig mange virksomheder mangler forståelse for, at effektiv persondatabeskyttelse er en vigtig del af deres forretning. Fordi den skaber tillid hos kunderne og reducerer risikoen for økonomiske tab.
Rapporten bygger på gennemgang og analyser af 64 børsnoterede virksomheders årsrapporter og CSR-rapporter for 2016 og 2017. Den indeholder selvstændigt afsnit om sundhedsvirksomheder og finansielle virksomheder, som man må forvente er særligt opmærksomme på persondatabeskyttelse på grund af de data, de behandler.