Næsten alle former for produktion og service bliver i dag understøttet af data. Fra fabrikken, der laver lamper, til frisøren, som kan se i sit system, hvilken hårfarve du fik sidst. Og jo bedre kvaliteten af data er, jo bedre bliver de produkter og services, virksomheder og organisationer kan tilbyde. Derfor er data også et produkt i sig selv. Endda et produkt, hvor værdien hele tiden stiger.

”Data er et økonomisk aktiv, og der er stor værdi at hente for virksomheder ved at have styr på deres data,” siger Helle Friborg, CEO i konsulenthuset Leave A Mark Consulting Group, som hjælper virksomheder med at få styr på privatlivsbeskyttelse og GDPR.

”I stedet for at se GDPR som en sur pligt og noget, man kun forholder sig til, fordi EU har besluttet, man skal, så vender vi det om og fokuserer på at skabe en digitalt robust virksomhed. For det giver en sundere virksomhed at optimere sine digitale processer,” konstaterer hun.

Standarder sikrer systematik og metodik i arbejdet med GDPR
Et af de værktøjer, der kan hjælpe virksomheder med at prioritere, strukturere, dokumentere og følge op på arbejdet med privatlivsbeskyttelse og cybersikkerhed, er standarder. Særligt standarden for informationssikkerhed ISO/IEC 27001, som er blevet udbygget med en særskilt standard for privatlivsbeskyttelse, ISO/IEC 27701. Leave A Mark Consulting Group er som den første danske virksomhed blevet certificeret i privatlivsbeskyttelse efter denne standard.

”En standard hjælper med at skabe systematik og metodik i forhold til virksomhedens politikker. Og selvfølgelig skal vi også overholde GDPR, så vi har taget vores egen medicin. Det betyder samtidig, at vi ved, hvilket arbejde det kræver, og hvilken værdi det kan give at arbejde med standarden, når vi kommer ud til vores kunder,” siger Helle Friborg og fortsætter:

”Som virksomhed kan du spare tid på dokumentationen, spare ressourcer på din indsats, fordi du prioriterer og får lukket sikkerhedshuller, og vinde på dit omdømme, fordi du kan dokumentere din indsats. Den værdi, som det tilsammen giver, overstiger i høj grad den omkostning, der er ved at få styr på sine data og sin privatlivsbeskyttelse.”

GDPR skal være en del af strategien
Manglende tid, tung administration og sikkerhedspolitikker, der ikke tager udgangspunkt i virksomhedens strategi og forretning. Det er nogle af de typiske udfordringer, Helle Friborg møder ude i virksomhederne.

”Helt grundlæggende handler det om at forstå GDPR-teksten, starte rigtigt op i forhold til, hvad der giver værdi og mening for den enkelte virksomhed og indrette arbejdet, så det ikke bliver en tung administrativ opgave, som ikke bliver løbende vedligeholdt,” siger hun og påpeger, at det handler om at finde frem til de passende tekniske og organisatoriske foranstaltninger.

For at kunne det, er det nødvendigt at vurdere sine risici, og også her kan standarder hjælpe. Det ved Anders Linde, chefkonsulent i Dansk Standard med speciale i informationssikkerhed og privatlivsbeskyttelse.

”Det handler ikke om at bygge Fort Knox, men om at overveje, hvilke risici, der knytter sig til organisationens behandlinger af data og hvordan man så mest hensigtsmæssigt sikrer sig. I sidste ende er det en klassisk cost/benefit-analyse af, hvilke tiltag der bedst betaler sig,” forklarer han og understreger, at standarder ikke kun er for store virksomheder.

”Standarder kan nemlig hjælpe en med at få indsigt i, hvilket trusselsbillede man står i, hvad der er mindstemålet for, hvad man bør gøre og hvordan man kan bruge standarder til at systematisere og dokumentere sin indsats”, slutter Anders Linde.