Survey-rapport: Persondata og it-sikkerhed 1 Bech-Bruun Intelligence Persondata og it-sikkerhed Survey-rapport April 2015
2 Survey-rapport: Persondata og it-sikkerhed Indhold Baggrund 3 Overordnede resultater 4 Data 6 Alle rettigheder til denne undersøgelse vedrørende persondata og it-sikkerhed tilhører Bech-Bruun, cvr-nr. 25 08 99 44. Det er udelukkende tilladt at citere fra undersøgelsen med behørig kildeangivelse og i øvrigt i overensstemmelse med ophavsretslovens bestemmelser.
Survey-rapport: Persondata og it-sikkerhed 3 Baggrund Vi har modtaget i alt 745 besvarelser, hvilket har givet os et solidt grundlag for at belyse området persondata og it-sikkerhed. Persondata og it-sikkerhed er på blandt andet mediernes dagsorden for tiden. Og med god grund. Manglende overholdelse af reglerne kan allerede i dag føre til bøder. Herudover kan læk og misbrug af data medføre markante tab som følge af fx dårligere image og tab af kunder, samarbejdspartnere, investorer mv. Men i hvor høj grad har danske virksomheder, myndigheder mv. overblik over området? Hvor meget betyder korrekt og sikker håndtering af persondata for danske virksomheder og myndigheder mv.? Og hvilke potentielle konsekvenser bekymrer man sig mest om? Disse og andre spørgsmål belyses med vores survey. Rapporten indeholder de overordnede resultater, som vi håber også kan give dig ny viden og virke som inspiration i dit videre arbejde med persondata og it-sikkerhed. Hvis du har spørgsmål til vores survey eller rapporten, er du altid velkommen til at kontakte: Christian Ejvin Andersen COO, vicedirektør T +45 72 27 34 34 E cea@bechbruun.com Thomas Munk Rasmussen Partner T +45 72 27 33 55 E tmr@bechbruun.com
4 Survey-rapport: Persondata og it-sikkerhed Overordnede resultater Håndtering af persondata Persondata er for alvor kommet på dagsordenen i Danmark. Korrekt håndtering af persondata er i dag højere prioriteret end sidste år i 4 ud af 10 af de adspurgte virksomheder 1. Og noget tyder på, at fokusset allerede er højt i de resterende virksomheder. Kun 1 ud af 100 virksomheder prioriterer således persondata lavere i år end sidste år. Er korrekt håndtering af persondata i din virksomhed: Lavere prioriteret end sidste år Samme prioritet som sidste år Højere prioriteret end sidste år Ved ikke 0% 20% 40% 60% 80% 100% Grundene til den høje prioritering af persondata skal hovedsageligt findes i EU s kommende persondataforordning og medieomtale af kritiske persondatasager i andre virksomheder. Således angiver 55 pct. den kommende EU-forordning som årsag, mens 49 pct. angiver kritisk medieomtale. 2 Undersøgelsen peger på, at der er et gap mellem vurderingen af vigtigheden af at leve op til lovgivningen og den aktuelle viden om, hvorvidt man faktisk gør det. At det vurderes som vigtigt at leve op til den gældende lovgivning vedrørende persondata, er der ikke nogen tvivl om. Hele 9 ud af 10 virksomheder angiver således, at det i høj grad eller meget høj grad er vigtigt. Imidlertid vurderer kun lidt over halvdelen, at de i høj grad eller meget høj grad har et overblik over, i hvor høj grad de lever op til lovgivningen. I hvilken grad har din virksomhed et overblik over, i hvor høj grad I lever op til gældende lovgivning vedr. håndtering af persondata mv.? Ingen/i meget ringe grad I ringe grad I nogen grad I høj grad I meget høj grad Ved ikke/andet 0% 20% 40% 60% 80% 100% Årsagerne til, at det er vigtigt at leve op til lovgivningen på området, skal ikke udelukkende findes i bøder og sanktioner fra myndighederne. Faktisk betyder risikoen for negativt omdømme endnu mere end risikoen for bøder og sanktioner. Hele 8 ud af 10 af de adspurgte virksomheder angiver risiko for negativt omdømme via fx kritisk medieomtale som årsag, mens 6 ud af 10 angiver risiko for bøder og sanktioner. 4 ud af 10 angiver risiko for tab af kunder, mens lidt over 25 pct. angiver risiko for tab af samarbejdspartnere. 1 Virksomheder dækker her også over besvarelser fra den offentlige sektor. 2 Summen af de to tal er større end 100, da der kunne angives flere svarmuligheder.
Survey-rapport: Persondata og it-sikkerhed 5 It-sikkerhed Også it-sikkerhed er højt på dagsordenen i Danmark. 3 ud af 10 virksomheder prioriterer it-sikkerhed højere i år end sidste år. Ingen prioriterer it-sikkerhed lavere end sidste år 3. Mens der således er lidt færre virksomheder i forhold til persondata, der prioriterer it-sikkerhed højere end sidste år i, så skal årsagen formentlig findes i, at it-sikkerhed allerede for de resterende virksomheder er højt på dagsordenen. I hvert fald kan det konstateres, at 6 ud af 10 angiver at have en høj grad eller meget høj grad af overblik over deres it-sikkerhed, mens det for persondata kun er 5 ud af 10, der har et overblik over, i hvor høj grad de lever op til lovgivningen. Også vedrørende it-sikkerhed angiver 9 ud af 10 virksomheder, at it-sikkerhed i høj grad eller meget høj grad er vigtigt. Årsagerne skal hovedsageligt findes i risikoen for negativt omdømme (75 pct.), risiko for tab af kunder (55 pct.) og risiko for tab af samarbejdspartnere (39 pct.). Sammenhæng mellem persondata og it-sikkerhed Mens det er tydeligt, at både persondata og it-sikkerhed er højt på dagsordenen i de danske virksomheder, er det interessant, at de også anses for at være to sider af samme sag. Således angiver hele 7 ud af 10 virksomheder, at it-sikkerhed og korrekt håndtering af persondata i høj grad eller meget høj grad er sammenhængende problemstillinger. I hvilken grad anskuer du it-sikkerhed og korrekt håndtering af persondata som sammenhængende problemstillinger? Ingen/i meget ringe grad I ringe grad I nogen grad I høj grad I meget høj grad Ved ikke/andet 0% 20% 40% 60% 80% 100% EU s kommende persondataforordning Det forventes, at EU i løbet af 2015 vil vedtage en ny forordning, der skærper kravene til behandling af personoplysninger. Forordningen vil pålægge danske virksomheder strenge dokumentationskrav og samtidig en markant forhøjelse af bødeniveauet. Kun 4 ud af 10 virksomheder er imidlertid i høj grad eller meget høj grad opmærksomme på den kommende forordning, mens kun 3 ud af 10 er opmærksomme i høj grad eller meget høj grad på forordningens forslag om ansættelse af en Data Protection Officer (DPO). 3 Der er faktisk én enkelt af alle adspurgte virksomheder, der angiver at prioritere it-sikkerhed lavere i år end sidste år.
6 Survey-rapport: Persondata og it-sikkerhed Data Bech-Bruun sendte den 5. marts 2015 et spørgeskema om persondata og it-sikkerhed til modtagere af Bech-Bruun Update. Spørgeskemaet er besvaret elektronisk. Modtagerne havde mulighed for at sende spørgeskemaet videre i organisationen til andre respondenter. Den 12. marts 2015 blev der sendt en reminder om at besvare. Der blev lukket for besvarelser mandag den 16. marts 2015. Bech-Bruun har modtaget i alt 745 besvarelser, hvoraf 600 har gennemført hele surveyen. 1. Hvilken branche er din virksomhed i? * Pct. Antal Engroshandel og detailhandel 4,7 33 Fremstillingsvirksomhed 8,3 58 Bygge- og anlægsvirksomhed 3,0 21 Information og kommunikation 5,9 41 Pengeinstitut- og finansvirksomhed 15,7 109 Liberalt erhverv 10,1 70 Administrative tjenesteydelser og hjælpeydelser 6,0 42 Offentlig forvaltning og socialsikring 21,4 149 Sundhedsvæsen og sociale foranstaltninger 2,5 17 Anden (angiv venligst) 22,4 156 * 49 respondenter har sprunget dette spørgsmål over. 2. Er korrekt håndtering af persondata i din virksomhed: Pct. Antal Lavere prioriteret end sidste år 0,6 4 Samme prioritet som sidste år 48,8 330 Højere prioriteret end sidste år 41,0 277 Ved ikke 9,6 65
Survey-rapport: Persondata og it-sikkerhed 7 3. Hvorfor er håndtering af persondata højere prioritet end sidste år? (Sæt gerne flere kryds) Pct. Antal Kommende EU-forordning 55,5 152 Anden lovgivning 26,6 73 Medieomtale af kritiske persondatasager i andre virksomheder 48,9 134 Andet (angiv venligst) 32,1 88 4. I hvilken grad har din virksomhed et overblik over, i hvor høj grad I lever op til gældende lovgivning vedr. håndtering af persondata mv.? Pct. Antal Ingen/i meget ringe grad 0,9 6 I ringe grad 6,7 44 I nogen grad 31,7 207 I høj grad 36,1 236 I meget høj grad 17,0 111 Ved ikke/andet 7,6 50 5. Hvor vigtigt er det for din virksomhed at leve op til den gældende lovgivning mv. vedr. håndtering af persondata? Pct. Antal Ikke vigtig 0,1 1 Kun lidt vigtigt 1,4 9 I nogen grad vigtigt 7,1 46 I høj grad vigtigt 35,7 230 I meget høj grad vigtigt 53,5 345 Ved ikke/andet 2,2 14
8 Survey-rapport: Persondata og it-sikkerhed 6. Hvorfor er det vigtigt at leve op til den gældende lovgivning? (Sæt gerne flere kryds) Pct. Antal Bøder/sanktioner fra myndigheder 59,0 364 Risiko for negativt omdømme via fx kritisk medieomtale 79,4 490 Risiko for tab af kunder 41,8 258 Risiko for tab af samarbejdspartnere 26,7 165 Risiko for tab af investorer 12,6 78 Ved ikke/andet 19,0 117 7. Har din virksomhed konkrete processer, der sikrer, at I løbende lever op til gældende lovgivning? Pct. Antal Ingen/i meget ringe grad 3,6 23 I ringe grad 8,2 52 I nogen grad 35,8 227 I høj grad 28,5 181 I meget høj grad 15,6 99 Ved ikke/andet 8,3 53 8. Er din virksomheds it-sikkerhed: Pct. Antal Lavere prioriteret end sidste år 0,2 1 Samme prioritet som sidste år 48,2 304 Højere prioriteret end sidste år 34,2 216 Ved ikke 17,4 110
Survey-rapport: Persondata og it-sikkerhed 9 9. Hvorfor er it-sikkerhed højere prioriteret end sidste år? (Sæt gerne flere kryds) Pct. Antal Følge med den digitale udvikling 75,0 162 Leve op til lovgivning 53,2 115 Fokus i pressen 28,2 61 Vi har oplevet konkrete trusler 25,5 55 Ved ikke/andet 15,3 33 10. I hvilken grad har din virksomhed et overblik over jeres it-sikkerhed? Pct. Antal Ingen/i meget ringe grad 0,8 5 I ringe grad 2,4 15 I nogen grad 19,6 123 I høj grad 36,9 232 I meget høj grad 24,5 154 Ved ikke/andet 15,8 99 11. Hvor vigtig er it-sikkerhed for din virksomhed? Pct. Antal Ikke vigtig 0,3 2 Kun lidt vigtigt 0,6 4 I nogen grad vigtigt 7,6 47 I høj grad vigtigt 35,8 223 I meget høj grad vigtigt 51,5 321 Ved ikke/andet 4,2 26
10 Survey-rapport: Persondata og it-sikkerhed 12. Hvorfor er it-sikkerhed vigtig for din virksomhed? (Sæt gerne flere kryds) Pct. Antal Risiko for negativt omdømme via fx kritisk medieomtale 74,7 438 Risiko for tab af kunder 55,1 323 Risiko for tab af samarbejdspartnere 38,6 226 Risiko for tab af investorer 17,6 103 Ved ikke/andet 27,0 158 13. Har din virksomhed konkrete processer vedr. it-sikkerhed, der sikrer, at I løbende lever op til gældende lovgivning? Pct. Antal Ingen/i meget ringe grad 1,3 8 I ringe grad 2,9 18 I nogen grad 23,6 145 I høj grad 33,2 204 I meget høj grad 21,5 132 Ved ikke/andet 17,5 107 14. Har din virksomhed processer og procedurer at følge for at identificere, klassificere og mindske risikoen ved et cyberangreb? Pct. Antal Ingen/i meget ringe grad 2,5 15 I ringe grad 5,1 31 I nogen grad 17,4 106 I høj grad 26,4 161 I meget høj grad 20,2 123 Ved ikke/andet 28,4 173
Survey-rapport: Persondata og it-sikkerhed 11 15. I hvilken grad er I opmærksomme på den kommende EU-forordning? Pct. Antal Ingen/i meget ringe grad 5,3 32 I ringe grad 9,7 59 I nogen grad 24,9 151 I høj grad 26,8 163 I meget høj grad 15,0 91 Ved ikke/andet 18,3 111 16. I hvilken grad er I opmærksomme på den kommende EU-forordnings forslag om ansættelse af en Data Protection Officer (DPO)? Pct. Antal Ingen/i meget ringe grad 12,1 73 I ringe grad 16,0 97 I nogen grad 18,7 113 I høj grad 16,0 97 I meget høj grad 11,7 71 Ved ikke/andet 25,5 154 17. I hvilken grad anskuer du it-sikkerhed og korrekt håndtering af persondata som sammenhængende problemstillinger? Pct. Antal Ingen/i meget ringe grad 1,0 6 I ringe grad 3,5 21 I nogen grad 22,6 136 I høj grad 39,0 235 I meget høj grad 29,9 180 Ved ikke/andet 4,0 24
Survey-rapport: Persondata og it-sikkerhed Bech-Bruun er en markedsorienteret og specialiseret, rådgivende advokatvirksomhed. Vi servicerer et stort udsnit af dansk erhvervsliv, den offentlige sektor og globale virksomheder med en bred vifte af ydelser. Med mere end 500 talentfulde medarbejdere og nogle af branchens mest anerkendte og erfarne eksperter skræddersyr vi løsninger på tværs af fagområder. Vores mål er at styrke vores klienters forretning, så de opnår de bedste resultater. København Danmark Aarhus Danmark Shanghai Kina T +45 72 27 00 00 www.bechbruun.com