Den 25. maj 2018 trådte EU-persondataforordningen (GDPR) i kraft, og vi kan i 2019 se en tendens til, at virksomhederne for alvor er blevet opmærksomme på, at det er ressourcekrævende at efterleve de komplekse regler i forordningen.
PwC’s Cybercrime Survey 2019 viser, at der er sket et fald på syv procentpoint i antallet af respondenter, der angiver, at virksomhedens personoplysninger i høj grad er tilstrækkeligt beskyttet i henhold til GDPR (fra 49 % i 2018 til 42 % i 2019). Samtidig viser undersøgelsen en stigning på ti procentpoint i antallet af respondenter, der angiver, at virksomhedens personoplysninger i nogen eller i mindre grad er tilstrækkeligt beskyttet i henhold til GDPR (fra 46 % i 2018 til 56 % i 2019).
Det kan indikere, at virksomhederne er blevet mere opmærksomme på deres egne muligheder for at beskytte personoplysninger tilstrækkeligt. I forlængelse heraf viser analysen, at 50 % af respondenterne mener, at GDPR har været en byrde for forretningen. Til sammenligning var dette tal 33 % i 2018, og der er således tale om et omfattende spring på hele 17 procentpoint. Tilsvarende viser undersøgelsen, at flere respondenter angiver, at GDPR har krævet store omlægninger af forretningen (fra 9 % i 2018 til 17 % i 2019), nye ansættelser (fra 29 % i 2018 til 36 % i 2019) og nye teknologiinvesteringer (fra 35 % i 2018 til 40 % i 2019).
De fleste virksomheder har efterhånden gennemført et GDPR-projekt i et eller andet omfang. For mange virksomheder omfattede projektet en kortlægning af virksomhedens processer, indeholdende personoplysninger, udarbejdelse af de lovpligtige dokumenter samt undervisning. Vores erfaring viser desværre, at mange virksomheders GDPR-projekt er stoppet her.
GDPR er ikke en engangsøvelse eller et juridisk papirskjold. Det kan bedre betale sig at holde fokus på GDPR løbende, så man undgår større oprydningsprojekter, som tager tid. PwC anbefaler, at virksomhederne får indarbejdet kravene i det daglige arbejde. Implementering af GDPR skal ske både i de faktiske og organisatoriske processer i forretningen samt i de it-systemer, hvori personlige oplysninger behandles.
At virksomhederne er blevet mere opmærksomme på forordningen og på deres egne evner til at beskytte personoplysninger tilstrækkeligt, kan hænge sammen med, at flere har angivet, at de har oplevet en hændelse, hvor fortrolige og følsomme personoplysninger eller anden fortrolig information utilsigtet er blevet delt. Således angiver 29 % i 2019, mod 17 % i 2018, at de har oplevet en hændelse, hvor fortrolige og følsomme personoplysninger eller anden fortrolig information utilsigtet er blevet delt. Ligeledes angiver 59 %, at de er bekymrede for, at virksomheden mister personoplysninger som en konsekvens af en sikkerhedshændelse.
Ifølge Datatilsynet har der i 2018 været 2.780 anmeldelser om persondatasikkerhedsbrud i perioden 25. maj til 31. december 2019. Til sammenligning har Datatilsynet i 2019 modtaget 3.261 anmeldelser af brud på persondatasikkerheden i perioden 1. januar til 30. juni 201910. På blot et halvt år er antallet af anmeldte brud i 2019 således oversteget det totale antal anmeldelser i den angivne periode i 2018. At flere respondenter i år har angivet, at de har oplevet en hændelse, hvor fortrolige og følsomme personoplysninger eller anden fortrolig information utilsigtet er blevet delt, kan derfor hænge sammen med, at virksomhederne er blevet mere opmærksomme
på at rapportere hændelser til Datatilsynet. Mediernes øgede fokus på hændelser kan ligeledes være med til at forklare respondenternes store bekymring for at miste personoplysninger som konsekvens af en sikkerhedshændelse.