Rådgivere spinder guld på persondatalov

Virksomheders frygt for millionbøder for at bryde EU’s nye persondataforordning skaber gode indtjeningsmuligheder for rådgivende revisorer, advokater, kursusarrangører og endda sælgere af makulatorer. Professor kalder frygten for kæmpebøder overdreven.

Andreas Baumann

MM Special: Slut med det digitale Wild West

  • 25. maj træder EU's nye persondatalovgivning, GDPR, i kraft med stramme krav til håndtering og beskyttelse af borgernes data.
  • Brugen af data har hidtil været ren Wild West, nu kommer der mere regulering og opmærksomhed på sikkerhed.
  • Udsigten til massive bøder har skabt panik blandt virksomheder, men en gylden forretning for rådgivere.
  • Alle myndigheder skal nu have en databeskyttelsesofficer. Rigspolitiet har ansat en af de første.

EU’s persondatalov er en del af det globale 'techlash'

Rådgivere spinder guld på persondatalov

Politiets data-vagthund: "Det dur ikke, hvis man råber op om bøder og dunker folk i hovedet"

"Brugerne skal have mere kontrol over deres data og større indsigt og mulighed for at sige fra”

MM MENER: Der er ingen 'free lunch' - og slet ikke på internettet

“Undgå store bøder, og få styr på dine persondata, før forordningen træder i kraft.”

Sådan lyder salgstalen i en af mange varianter fra alskens kursusudbydere, advokatbureauer og revisionshuse, der igennem det seneste års tid har kastet sig over det lukrative marked for rådgivning om EU’s nye persondataforordning, der træder i kraft 25. maj.

Og alle, lige fra de helt store internationale revisionshuse som PwC og KPMG, store danske advokatfirmaer som Kromann Reumert, Bech & Bruun og Kammeradvokaten og en kæmpe underskov af mindre og mellemstore konsulentbureauer og kursusarrangører, synes at være med. Alle tilbyder de enten skræddersyet rådgivning, endagskurser, hele uddannelser eller hurtige onlinekurser om den frygtede forordning med de store bøder.

Referencen til ’de store bøder’ er udbredt og bestemt ikke tilfældig. Det har nemlig skabt noget nær panik hos mange virksomheder og organisationer, at den nye forordning rummer muligheden for at sanktionere brud på persondatareglerne med bøder på op til 4 pct. af den globale omsætning, dog maksimalt cirka 150 mio. kr. Det er noget mere end de 25.000 kr., som den hidtil største bøde for brud på persondataloven i Danmark lyder på.

Frygten for de store bøder har skabt et perfekt grundlag for – hvis ikke ligefrem en guldrandet forretning – for rådgivere og andre med forstand på den kommende europæiske datalov. Søger man på ’persondataforordningen’ i Googles søgemaskine, kan man ud over de mange rådgivningstilbud se, at der også er godt gang i salget af annoncer, der tilbyder fysisk udstyr, der kan være med til at sikre, at virksomhederne ikke begår dyre brølere, fordi de ikke har styr på kundernes data. Således annonceres der for alt fra persondatasikre printere fra eksempelvis virksomheden One Q i Birkerød, der lover hackersikret papirudprintning, over salg af makulatorer i alle størrelser fra kontorartikeldistributøren Lomax, til makuleringsservice i storskala – både mobilt og centralt – fra virksomheden Marius Pedersen.

Sidstnævntes direktør fortæller, at der er godt gang i makuleringsforretningen for tiden, hvor myndigheder og virksomheder skaffer sig sikkert af med tusindvis af fortrolige dokumenter.

”Jeg ved ikke, om det direkte har noget med den nye persondataforordning at gøre, men det er i hvert fald en god anledning til at få ryddet op i de bunker af papirer, som man måske har liggende. Og der tilbyder vi sikkerhedsmakulering over hele landet i topkvalitet,” siger adm. direktør Christian Ørum.

Kurser til over 25.000 kr.

Blandt de internetannoncer, der omhandler persondataforordningen, fylder de mange kursustilbud dog mest. Og en af de ivrigste annoncører og udbydere af kurser om EU’s nye datalov er Teknologisk Institut, der også står bag førnævnte citat om at ’undgå bøder, før forordningen træder i kraft’.

Teknologisk Institut tilbyder ikke mindre end 10 forskellige kurser om den nye persondataforordning til priser på mellem 4.990 kr. og 24.900 kr. ekskl. moms. Dermed overstiger de dyreste af kurserne den største bøde, der nogensinde er givet for brud på persondataloven herhjemme. Hos Teknologisk Institut bekræfter man, at persondataforordningen har givet ekstra efterspørgsel, men også at kurserne ikke ligefrem udgør et guldæg.

”Vi har bestemt en god efterspørgsel efter vores kurser i GDPR (persondataforordningen, red.), og det handler jo om, at når der kommer en ny forordning, så søger folk ny viden, og det er nogle gange lettere at få præsenteret i et kursus end ved selv at læse op på det. Men de 10 kurser, vi tilbyder, fylder jo ikke meget i hele vores kursusportefølje,” siger Janice Høst, der er centerchef for uddannelse og dermed overordnet ansvarlig for alle instituttets kursusaktiviteter, der løber op i mere end 1.000 forskellige titler.

Bøder fylder meget

Hun mener ikke, at instituttet er med til at piske en stemning op omkring truslen fra bøderne, selv om virksomheden i sine annoncer gør et stort nummer ud af netop de potentielle bøder.

”Det gør vi, fordi det er et af de spørgsmål, vi får fra kunderne. Vi forsøger at favne det behov, der er i markedet, for at blive klædt på til den her forordning. Og her er bøderne noget, der optager folk,” siger Janice Høst.

Man kunne mene, at det er et udryk for slags fear selling?

”Nej, det er det ikke. Vi gør os meget umage med at blive på den gode side af markedsføringsloven,” Janice Høst.

Men I nævner jo bøderne?

”Det er jo også et faktum, at de eksisterer. Og så er det et af de spørgsmål, der dukker op hos vores kunder, når vi forbereder vores kurser, som de gerne vil have afklaret. Men på vores kurser vil man også få den besked, at man skal lade være med at lade sig skræmme af de her bøder. Ved at følge vores kurser kan man blive klædt godt på til helt at undgå dem,” siger Janice Høst.

Den noget mindre kursusudbyder Mindrocket, der egentlig er specialiseret i at afholde kurser om onlinemarketing og brug af sociale medier, begyndte sidste år også at udbyde et kursus i persondataforordningen med den ildevarslende og stavefejlsbehæftede salgstale:

“Persondataforordningen træder i kræft (kraft, red.) den 25. maj 2018 – er din virksomhed klar? Kender i konsekvenserne af IKKE at være det? Det kan nemlig blive (rigtig) dyrt!”

Kurset varer 3 timers og er med en pris på 2.000 kr. noget billigere end kurserne fra Teknologisk Institut. Mindrocket er dog ikke vendt tilbage med svar på, hvorfor også de henviser til risikoen for bøder i deres markedsføring.

Legitim panik

Men det er dog ikke så svært at gætte sig til, mener Peter Blume, professor ved Center for Offentlig Regulering og Administration på Københavns Universitet.

“Det er bøderne og ikke en pludselig ny omsorg for borgernes persondata, der har givet den her panik hos virksomhederne, og det er formentligt også bøderne, der er grunden til, at de her kurser sælger godt lige nu,” siger han og understreger, at han skam mener, at kurserne har deres berettigelse, men at de i nogle tilfælde også kan være med til at piske en stemning op.

”På den ene side er det jo fuldstændigt legitimt at udbyde de her kurser, for der er en kæmpe efterspørgsel efter viden om den nye forordning. Men det er også klart, at der kan være en tendens til at skrue op for retorikken for at sælge kurser og få nogle klienter ind i folden, i forhold til hvad der forventeligt kan komme ud af den her forordning,” siger Peter Blume, der selv er underviser på et onlinekursus. 

Indirekte bevis på datasjusk

Peter Blume og en af hans professorkollegaer på jura på Københavns Universitet påpeger nemlig, at frygten for de store bøder på mange måder er overdreven.

“Man skal huske på, at de der millionbøder er en maksimumsgrænse. Og derudover er det ikke sandsynligt, at der bliver udskrevet bøder dagen efter forordningens ikrafttrædelse. Der vil gå noget tid, før der bliver dannet en praksis,” siger Peter Blume, der bakkes op af juraprofessor Henrik Udsen fra samme universitet.

Han har tidligere over for mediet Computerworld påpeget, at risikoen for kæmpebøder til virksomheder, når persondataloven træder i kraft, er minimal. 

”Når man skal udmåle bøder, så vil man have en vis pragmatisk holdning til, at det vanskeligt og uklart," siger Henrik Udsen, og Peter Blume fortsætter:

”På den anden side er meningen med bøderne jo, at der skal mere alvor bag, så længere henne ad vejen vil der også blive udskrevet bøder, og nok også i en stor skala. Men der skal altså meget grove og gentagne overtrædelser til, før man risikerer at komme op i den høje ende af bødeskalaen,” siger han

Peter Blume mener derfor også, at den store kursusaktivitet om persondataforordningen først og fremmest viser, at mange virksomheder hidtil ikke har overholdt de gældende persondataregler, men først med den nye udsigt til kæmpebøder begynder at tage sig sammen.

“De her bøder er den primære grund til, at der er så stor opmærksomhed på persondataforordningen lige nu. Og det er tydeligt, at rigtig mange virksomheder ikke har overholdt de gældende regler. Ellers ville der ikke være så meget panik. For så meget nyt er der trods alt heller ikke i indholdet i de nye regler i forhold til de gamle,” siger Peter Blume.

DI: Datatilsynet savner muskler

Hos DI medgiver chefkonsulent Morten Rosted Vang, at bøderne er noget, de danske virksomheder reagerer på.

”Det har været talt meget op med de bøder, men det er jo også en reel frygt, fordi der er usikkerhed om, hvordan og hvornår hammeren egentlig vil falde. Altså, vi går fra et bødeniveau på maksimalt 25.000 kr. til potentielt set flere millioner. Det er en væsentlig forskel, som har gjort, at der er kommet meget mere fokus på det i hele samfundet,” siger Morten Rosted Vang.

Han vil ikke kommentere de private kursusudbud, men fortæller, at der generelt er stor efterspørgsel hos virksomhederne for at blive opdateret på de nye regler. Brancheorganisationen tilbyder selv sine medlemmer forskellige værktøjer og rådgivningsmuligheder for at blive klar til den 25. maj, og derudover henviser han til, at man også bør læse de officielle vejledninger, som Datatilsynet har udarbejdet om persondataforordningen. Men netop Datatilsynet kunne også godt trænge til at opgradere sin rådgivning endnu mere, mener DI.

”Det handler jo ikke om, at der skal uddeles en masse bøder. Det handler om, at vi skal ændre kulturen for, hvordan man – privat og offentligt – behandler persondata. Derfor er det vigtigt, at der kommer til at være vedvarende rådgivning og vejledning fra myndighedernes side, om hvordan man overholder reglerne. Og der mener vi, at Datatilsynet skal have nogle flere ressourcer til den del af opgaven,” siger Morten Rosted Vang.

Hos Datatilsynet er der i dag stort set kun ansat jurister. Der er ikke en eneste kommunikationsmedarbejder blandt de 40-45 personer i medarbejderskaren. Og budgetterne til informationsmateriale og vejledning rækker ikke langt, selv om myndigheden fik en øget bevilling på den seneste finanslov, så tilsynsmyndigheden næste år forventes at komme op på 59 ansatte. Det er alt for lidt, mener Retspolitisk Forening.

”Persondata skal beskyttes, for det er kernen i privatlivets fred, men det har der hidtil har været taget alt for let på. Og det skyldes først og fremmest myndighedernes efterladenhed. Man har været alt for efterladende over for både private, der ikke har levet op til reglerne, men også over for det offentliges egen håndtering af persondata,” siger foreningens formand, advokat Bjørn Elmquist.

Han sendte i efteråret et åbent brev til EU-kommissæren på området med kritik af Datatilsynets manglende ressourcer til at håndhæve persondataforordningen. Derfor er han også grundlæggende tilfreds med, at udsigten til de store bøder har fået virksomhederne til at tage sig sammen, så de nu i stor stil både søger kurser, rådgivning og teknisk hjælp til at blive klar på forordningen.

Gratis hjælp fra it-chef

Har man ikke tusindvis af kroner til at kaste efter advokatbistand eller et kursus, så kan man også finde gratis hjælp på internettet. Ud over Datatilsynets officielle vejledninger, der dog er tynget af juridiske termer, har it-sikkerhedschefen i den danske virksomhed Brødrene A & O Johansen, Henning Mortensen, på eget initiativ lavet en praktisk skabelon, så danske virksomheder kan blive klar til den 25. maj. Skabelonen ligger frit tilgængeligt på internettet og passer ifølge forfatteren til ca. 80 pct. af danske virksomheders behov.

”Jeg har forsøgt at skrive noget mere tilgængeligt ud fra den praktiske virkelighed, jeg selv har oplevet. Og så tænkte jeg bare, at den skulle ud og komme nogle flere folk til glæde. Jeg delte den derfor først bare på LinkedIn med de 200 venner, jeg har der, men så spredte det sig hurtigt som ringe i vandet, og efter en måned var der over 10.000, der havde hentet den,” siger Henning Mortensen.

Hvorfor har du ikke forsøgt at tjene lidt penge på den, ligesom alle andre ser ud til at gøre?

”Jeg har beskæftiget mig med persondatabeskyttelse i over ti år og har altid været meget idealistisk omkring det. Den første vejledning om emnet lavede jeg hos DI for ti år siden, og det er stadig de samme principper, der er i spil. Så hvis folk havde taget den vejledning seriøst dengang, havde vi slet ikke været der, hvor vi er i dag med bål og brand og konsulenter til en timepris på 1.500 kr. og opefter. Det sker jo kun, fordi der er et kæmpe efterslæb. Vi har digitaliseret med 180 kilometer i timen og har simpelthen ikke taget it-sikkerhed og beskyttelse af persondata alvorligt nok,” siger Henning Mortensen.


Få Mandag Morgens overskrifter direkte i din mail.

Tilmeld dig nyhedsbrevet nu




Få Mandag Morgens overskrifter direkte i din mail.

Tilmeld dig nyhedsbrevet nu