Den nye GDPR-lovgivning skal skabe transparens og give brugeren magten tilbage over sine egne data. For store virksomheder bliver det en kompleks og dyr integrationsfase. Men hvad kommer det til at betyde for startups?

Data har i længere tid været anset som den nye olie og i dag er data rygraden i enhver finansiel institution og større virksomheder. Men den store mængde personfølsomme data, større virksomheder og finansielle institutioner sidder på, kan bringe dem ind i en proces af Kafkaske dimensioner. Det sker, når de skal integrere EU’s Persondataforordning (GDPR).

Ifølge McKinsey kan tiden, det tager at implementere forordningen, nemt overstige 18 måneder, og omkostningerne kan være betydelige (mere end 75 millioner kroner) afhængigt af virksomhedens startposition. Men regulering er ikke en by i Rusland for banker og andre større finansielle virksomheder. Derfor vil det være rimeligt at antage, at flertallet allerede arbejder i regneark med transformationen.

Regulering som konkurrencefordel

Men den nye lovgivning vil også gælde fintech-virksomheder og startups generelt, der med adgang til mange personfølsomme data, også bør udnytte muligheden for at demonstrere, at de kan håndtere personoplysningerne på en sikker måde.

”Startups kan drage meget nytte af at have en proaktiv tilgang til GDPR. Også selvom det kan virke komplekst. Når det gælder fintech-virksomheder, har de mange fortrolige data, de skal behandle. Men hvis det gøres i den rigtige rækkefølge, kan den opdeles i en mere overskuelig proces. De skal starte at vurdere deres kunders rejse og selv sørge for, at de ved, hvilke data de har brug for og fremadrettet henter,” siger Bjørn Bjørnsvik, der er Senior Manager hos Accenture Security i Norge.

Alle virksomheder skal være i overensstemmelse med det nye EU-regulativ inden den 25. maj. Og i de første seks måneder af 2018 kan GDPR give en konkurrencemæssig fordel til startups, der arbejder proaktiv med persondataforordningen.

“Startups vil opleve, at kunder eller samarbejdspartnere udfordrer dem på GDPR-compliance. Hvis startups er i stand til at demonstrere, at de er opmærksomme på omfanget af ​​de nye krav, er de allerede foran andre startups, som endnu ikke har vurderet omfanget,” siger Bjørn Bjørnsvik og fortsætter.

“Due diligence af datastrømme og opbevaring af data samt hvem der har adgang til data, og generelt at være proaktiv og vurdere behovet for data, er en god investering. Opmærksomheden for brug og beskyttelse af data bliver ikke mindre i fremtiden. Startups får brug for juridiske kompetencer til at vurdere og identificere, hvilke data der betragtes som personfølsomme og for at sikre, at data er sikret, samt at de har et gyldigt samtykke fra kunden til at indsamle det,” siger Bjørn Bjørnsvik.

Consent is king

Nu glider vi over i eksemplet med fintech-virksomheder. Men startups i andre industrier kan også få vigtig viden ved at læse med.

I de fleste tilfælde vil fintech-virksomheder være tredjepart i en datastrøm og have adgang til kundedata via en bank eller en finansiel institution.

“GDPR-lovgivning påvirker både det vi kalder databehandler og dataansvarlig. Med udgangspunkt i fintech-virksomheder, der sandsynligvis har adgang til data fra en finansiel institution, vil de ikke eje eller have ansvar for at kontrollere data men i stedet behandle data på vegne af bankerne. Nogle af kravene til databehandler og -ansvarlig varierer, men det afhænger af deres interaktion med kunderne og hvordan de involverer dem,” siger Bjørn Bjørnsvik.

Ifølge Bjørn Bjørnsvik bliver den største udfordring for startups deres egen natur. Innovation er baseret på, hvordan startups bruger de eksisterende data på nye måder. Her er det afgørende, at de har det rette samtykke fra kunderne.

“Hvis en fintech-virksomhed beslutter sig for at forny produkter eller tjenester til deres kunder, skal de sikre sig, at der allerede er givet samtykke fra den registrerede kunde. Det er vigtigt, at de er opmærksomme og især med den nye PSD2-lovgivning, der åbner API’er til tredjeparter,” siger Bjørn Bjørnsvik.

Data, der er indsamlet til et bestemt formål, kan ikke overføres eller deles til et andet formål uden udtrykkeligt samtykke fra den registrerede. Ifølge Bjørn Bjørnsvik kan man med fordel kontakte den dataansvarlige virksomhed og bede om at komme i tale med hovedpersoner, der er ansvarlige for at indhente data.

Forbered dig på bruddet

Virksomheder, der ikke opfylder kriterierne, og som rapporteres eller overtræder brugen af oplysningerne, kan blive påkrævet at betale store bøder. Det kan løbe op i 150 millioner kroner eller 4 procent af det samlede globale overskud i et selskab.

Hvis en virksomhed bliver hacket eller de personfølsomme data på anden vis lander i offentligheden eller uden for selskabets servere, skal det rapporteres det til den dataansvarlige inden 72 timer.

Hvis virksomheden selv er databehandler skal det rapporteres til myndighederne inden for samme tidsgrænse. I Danmark skal det rapporteres til Datatilsynet.

”Startups bør have en strategi for, hvordan de håndterer en situation, hvor data ender i forkerte hænder. Mange sager vil med al sandsynlighed blive vurderet ud fra hvor transparent og professionelt en virksomhed håndterer et brud. Derfor kan mindre virksomhed reducere beløbet af kravet betragteligt, hvis uheldet er ude,” siger Bjørn Bjørnsvik.