DEVOTEAM GDPR MARKEDSUNDERSØGELSE. Danske virksomheder venter forgæves på åbenbaringen om persondataforordningen

Relaterede dokumenter
SISCON GDPR I revisionsmæssigt perspektiv incl. præcisering vedrørned DPIA

Fem ud af seks virksomheder lever op til GDPR-reglerne

Den årlige undersøgelse af gevinstrealisering i Danmark, 2015

Projekter skal ikke styres de skal ledes Microsoft-seminar

10. gode råd til forandringer i virksomheder

DEN LILLE SKARPE OM RAMMEARKITEKTUREN

GDPR NÅR FORORDNINGEN MØDER VIRKELIGHEDEN

BUSINESS CASE OG GEVINSTREALISERING

Forandringsledelse og persondata v/ Line Budtz Pedersen, advokat, TDC Group. 26. Januar 2017

Impero - Respondentrapport

MESSEDELTAGERE - Persondataforordningen i praksis Overblik

Derfor mister danske virksomheder penge på deres ERP-opgradering

NOTAT. Styr på persondata

Hvordan effektiviserer I jeres processer

Status på udbredelsen af Lean

HR SURVEY 2017 ved OHRC og COK. HR Survey Øjebliksbillede af opgaver, prioriteter og udfordringer for HR i kommunerne

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

RIGSREVISIONENS NATIONALE KONFERENCE EFFEKTIV FORVALTNING MED DIGITALISERING

Erhvervslivets kendskab til FN s 17 verdensmål. Har i høj grad. kendskab til FN s verdensmål. virksomheder. Mindre og mellemstore. vs.

case ESBJERG KOMMUNE SÆTTER FOKUS PÅ PROJEKTKULTUR OG VÆRKTØJER OM ESBJERG KOMMUNE OM FLOWIT A/S BAGGRUND OG BEHOV

Ledelse af dagtilbud Ledelsesmæssige udfordringer og kompetenceudvikling

IT Projektleder ERFA 9. juni Tema: Brug af Business Intelligence (BI) og sociale medier

Digitaliseringsstrategi

Få en globalt anerkendt persondata-certificering

Vejledning - Udarbejdelse af gevinstdiagram

Private rådgivere leverer unikke og værdifulde ydelser til det offentlige

It-sikkerhed i danske virksomheder

Ledelses-workshop for Marketingdirektører

Af produktivitetschef Bjarne Palstrøm, Dansk Industri

Gevinstrealisering. Arbejdsgruppe under Leverandørforum. KL s Dialogforum for it-leverandører og konsulenthuse 22. april 2015

Det danske ERP marked

HR-Strategi for Gladsaxe Kommune

Morgenwebinar om cookies

Min arbejdsplads hvordan er den? resultat af undersøgelse

Persondataforordningen fra abstrakt lov til operationelt projekt. Offentlig digitaliseringskonference 14. marts 2018

KRISENS SPOR. Fra før krisen i 2008 til midt i krisen 2010

Figuren nedenfor viser den overordnede proces for, hvordan ansvarlighed integreres i investeringsbeslutninger.

Hvordan går det med. byggeriet. Vi tog temperaturen på markedet

Workshop om persondataforordningen

VÆRKTØJ 5 SKABELON TIL IMPLEMENTERINGSPLAN

EU s Persondataforordning. for danske virksomheder. ca. 8 mia. kr. ANALYSE

Københavns Kommune gennemfører hvert andet år en fælles trivselsundersøgelse på alle arbejdspladser i kommunen.

Få succes med forandringer

Kommunalt udviklingsprojekt om it i unde r- visning og læring

KORT OM PROJEKTPORTEFØLJESTYRING. Af Jacob Kragh-Hansen, Execution Consulting Group

Forventninger til forandringer i det offentlige

Det er blevet mere byrdefuldt at drive virksomhed i Danmark

Forbedringspolitik. Strategi

Kickstart din virksomheds digitale rejse

leverer forventet udbytte Kun 10% af strategiske projekter

Skolevægring. Resultater fra en spørgeskemaundersøgelse blandt skoleledere på danske folkeskoler og specialskoler

K- afdelingen lader IT i stikken

Lean Ledelse. Hvordan du igennem god ledelse kan få medarbejderne motiveret til at arbejde positivt med forandringer.

Det rette fundament for procesforbedringer

Workshop 2. Hvilke processer skal sikre os en god databeskyttelse? Hvordan uddanner vi medarbejdere i det offentlige til at håndtere data forsvarligt?

Programbeskrivelse. 2.1 Program for velfærdsteknologi Formål og baggrund

Forandring... Slide 1 Degnegaard - dorthe@degnegaard.dk tlf.: SKA Workshop 6. sept. 2011

VIRKSOMHEDSSIMULERING

UNDERSØGELSE OM CIRKULÆR ØKONOMI

Forsyningssektoren Undersøgelse af strategier og tendenser. Rapport

Implementering af byrdelettelser er gået i stå

EU s eprivacy-forordning nærmer sig under radaren

LEDELSE PÅ TVÆRS I EKSTERNT STØTTEDE UDVIKLINGSPROJEKTER

Aalund. Insight. Business. Hver fjerde danske virksomhed vil søge ekstern rådgivning om digitalisering. November 2018.

KOMMUNIKATIONSSTRATEGI. Analyse af organisationers udvikling og anvendelse af kommunikationstrategier

Nærvær i arbejdet Anden akademidag den 2. juni 2009

EU-Persondataforordningen. Steen Okkels Nørby, Supply Chain Manager/Projektleder hos NOVAX, IT-branchen 20 år,

GDPR - Bryder verden sammen efter den 25. maj?


Når Compliance Bliver Kultur

Vejledning - Udarbejdelse af gevinstdiagram

Dansk Erhvervs Perspektiv

Få en globalt anerkendt persondatacertificering

KL DIGITALISERINGTRÆF LEDELSE AF DIGITALISERING I KOMMUNER SENIOR DIREKTØR ERIK MØBERG,

Bech-Bruun Intelligence Chefjuristens udfordringer og forventninger til fremtiden

DIGITAL OMSTILLING. 3 forløb, som understøtter digital transformation individuelt og organisatorisk

Fællesmøde for flis- og brændselspillegruppen samt halmgruppen

Kvalitetsprojektet. Kommissorium. Udarbejdet af Christian Clausen. Godkendt d af Jens Mejer Pedersen

Databeskyttelsesrådgivernes årsrapport 2018 til kommunalbestyrelsen i Frederikssund Kommune

UDVIKLING AF JOBCENTRETS VIRKSOMHEDSINDSATS. KL s Beskæftigelsestræf Den 25. februar 2015

Københavns Kommunes erfaringer med IT-projektråd

DIGITAL OMSTILLING. 3 forløb, som understøtter digital transformation individuelt og organisatorisk

Vi vil meget gerne arbejde med gevinstrealisering, men der er så mange udfordringer og modstand. Survey om Business Case og Gevinstrealisering

Empowerment

KONSULENTFIRMAET IVAN BACH

SAS Institute CIO networking

Præsentation Tid +/- 25 minutter i praktik

Hver anden virksomhed bliver ikke klar til EU s Persondataforordning

Programbeskrivelse - Digitalt kompetente kommuner

Systematiseret tilgang til Virksomhedskontakt - executive summary

PERSONDATAFORORDNINGEN ER DIN ORGANISATION KLAR TIL DEN NYE VIRKELIGHED?

DFM NETVÆRKS MEDLEMSUNDERSØGELSE 2017

Databeskyttelsesrådgivernes årsrapport 2018 til kommunalbestyrelsen i Hørsholm Kommune

1. Styrings- og beslutningsmodel (del af digitaliseringsstrategi)

EU S PERSONDATAFORORDNING & CLOUD COMPUTING

HR-survey Øjebliksbillede af opgaver, prioriteter og udfordringer for HR i kommunerne

Chefjurist: En rolle i forandring 1. Bech-Bruun Intelligence. Chefjurist: En rolle i forandring

SAMARBEJDSAFTALE FOR DIGIMIDT

EU Persondataforordning. One year with GDPR - one year to come

Direktionens årsplan

Transkript:

DEVOTEAM GDPR MARKEDSUNDERSØGELSE Danske virksomheder venter forgæves på åbenbaringen om persondataforordningen

OM UNDERSØGELSEN Devoteam har spurgt 500 danske offentlige og private virksomheder om deres arbejde med EU Persondataforordningen, der træder i kraft den 25. maj 2018. Undersøgelsen dækker såvel store virksomheder med mere end 5000 medarbejdere, som mindre virksomheder med 50 medarbejdere. I analysen af svarene er der set på eventuelle tendenser i forhold til den type af virksomhed, der svarer. Danske virksomheder, offentlige som private, er efterhånden klar over, at der er en persondataforordning, som træder i kraft i maj 2018. Det vidner de mange seminarer, konferencer og indlæg om emnet i denne tid. Alligevel er det ikke nok. Danske virksomheder agerer ikke på informationerne og den kendsgerning, at om mindre end et år vil vi have et andet paradigme for persondata. Til gavn for os alle som borgere og kunder. 2/3 af de adspurgte har endnu ikke en plan Det er et af hovedindtrykkene fra Devoteams nye undersøgelse om danske virksomheders arbejde med persondataforordningen. Mere end 2/3 af de adspurgte har endnu ikke en plan for implementering af forordningens krav. Knap halvdelen er stadig i analysefasen, hvor de endnu ikke kender omfanget af ændringer, forordningens krav vil medføre for deres forretning. Årsagen til den langsomme start er ligeledes tydelig: Forvirring og forsigtighed. Mange føler stadig ikke, de forstår, hvad forordningen går ud på og indtager derfor en afventende holdning. Nogle sætter deres lid til nye informationer fra Justitsministeriet, og har derfor endnu ikke lagt planer for forandringerne i egen organisation. Den holdning finder vi specielt hos virksomheder, der ikke har tradition eller erfaring for systematisk at arbejde med compliance (efterlevelse af krav). Mange små og mellemstore virksomheder mangler både de nødvendige kompetencer og processer. Persondataforordningen er nyt land, der skal betrædes, og det kan være afskrækkende. Men løsningen er ikke at vente på hjælp, der aldrig kommer. Løsningen er at komme i gang. 1/3 er endnu ikke er gået i gang med plan for implementering af forordningens krav Under alle omstændigheder er det ikke et skrivebordprojekt, men for rigtig mange en forandringsproces, og den starter med det første skridt. Det kan for eksempel være at vende tilbage til de syv grundprincipper i forordningen. De kommer med sikkerhed også til at være der om et år. Gå i gang med dem. Følg hovedvejen, hvor græsset er trådt og vent med afstikkerne til senere. Persondataforordningen er ikke en øvelse i at opnå 100 procent compliance. Virksomheden skal tage udgangspunkt i sin egen virkelighed og det forudsætter den rette indstilling og kultur, den rette praksis og ikke mindst kontinuerlig forbedring. Det lader sig gøre for alle virksomheder, men det kræver handling og ofte en justering af adfærd. Den største risiko for os er, at vi ikke kender den fremtidige lovgivning og dermed ikke vores muligheder for at implementere den korrekt. Mange ved ikke, hvordan GDPR omsættes til praktik. På de følgende sider finder du de vigtigste konklusioner og anbefalinger fra vores undersøgelse. 2 3

INDHOLD Topledelsen skal bakke op og vise vejen. Det er en multi-disciplin øvelse. Ingen vedvarende løsninger uden teknologi. Undervurdér ikke opgaven. Et spørgsmål om modenhed 4 5

TOPLEDELSEN SKAL BAKKE OP OG VISE VEJEN DET ER EN MULTI-DISCIPLIN ØVELSE 100% 100% 75% 75% 50% 52,7% 61,8% 50% 56,4% 25% 28,5% 21,4% 24% 25% 7,9% 25% 38,6% 10,3% 7,5% 9,9% 0% Topledelse Juridisk afdeling It HR Sikkerhed Forretning Andet 0% Projektleder Organisatorisk funktion DPO, CISO el. lign. Ekstern konsulentbistand Andet (it, HR, Sikkerhed e.l.) Hvor i organisationen er arbejdet med EU s persondataforordning forankret? Hvem står i spidsen for jeres implementering af de aktiviteter, der er defineret i jeres plan? Over halvdelen svarer, at arbejdet med forordningen er forankret i topledelsen, som dermed scorer næsthøjest efter it-afdelingen. Det er meget svært at få ledelsen med. 53 procent af virksomhederne har arbejdet med persondataforordningen forankret i topledelsen Det er positivt, at topledelsen er involveret så mange steder, men er det kun af navn eller også af gavn? Får medarbejderne den nødvendige flystøtte til arbejdet, herunder de rette ressourcer? Hvordan sikrer topledelsen at øvelsen ikke blot ender med endnu et flueben til glæde for vores revision- Det er ikke nok, at topledelsen har gode intentioner. De skal udmøntes i noget konkret, herunder målsætning og ressourcer. Hvad er succeskriteriet for arbejdet med persondataforordningen? Hvad skal indsatsen måles på? Topledelsen skal sætte økonomi og mennesker bag ordene. Topledelsen skal forklare, at GDPR projektet er direkte koblet op mod fx økonomisk tab, virksomhedens omdømme og Coorporate Social Responsibility, konkurrence på markedet, kundernes tillid. Der er stor forskel på, hvem virksomhederne vælger at placere ansvaret for at lede arbejdet med persondataforordningen. It-afdelingen er den oftest nævnte, men der peges også på HR, juridisk afdeling, sikkerhed. Det er tydeligt, at virksomhederne der har svaret på undersøgelsen ikke har valgt en ekstern konsulent til at lede projektet. Det er vanskeligt at få forretningen til at forstå vigtigheden i denne forandring. At det ikke er et it-projekt, men et fælles virksomhedsprojekt, der kræver dagligt fokus. Det er hverken overraskende eller problematisk, at arbejdet drives fra så mange forskellige organisatoriske enheder. Det passer nemlig ikke perfekt i nogen af dem, men er en tværgående øvelse, der omfatter mange discipliner (jura, it, sikkerhed, kommunikation, forretningsforståelse). Det afgørende er, at der er bredde, og ikke bliver til en silo øvelse. At ikke bruge eksterne projektledere udstråler en gør det selv tendens. Det kan skyldes at eksterne konsulenthuse gennem de sidste to år har overøset kunderne med møder, gratis seminarer, tjeklister og vejledninger, kurser og morgenmøder. Hold fast i den organisering, I har valgt, men sørg for at få alle relevante parter i organisationen med ombord. Det vil sige alle vigtige interessenter, inklusive topledelsen. Det vil i en større virksomhed være cheferne for jura, it, HR, kunder og for bordenden en, der har indflydelse på deres tid og budget, typisk en CFO eller CEO. Få en erfaren projektleder til at lede denne multi-disciplin øvelse. Lad være med nødvendigvis at opfinde noget nyt. Søg hjælp, såfremt I mangler viden og erfaring, når det kommer til praksis for databeskyttelse.. 6 7

INGEN LANGSIGTEDE LØSNINGER UNDERVURDÉR IKKE OPGAVEN UDEN TEKNOLOGI 5,1% 50% 43,4% 8,7% Forberedelse? Herunder ledelsesforankring, økonomi, organisering og analyse af datastrømme 25% 0% 28,1% Nej 6,3% 3,2% Ja, vi bruger Data Discovery 13,1% Ja, med Shadow-IT Discovery Ja, med digital datastrømsanalyse 19,6% Ja, via rolle/rettighedsstyring 27,3% Ja, med kryptering Ja, med automatisk eksekvering af sletteregler 12,1% 18,6% Andet Ja, via intrusion detection 31,3% 43,4% Implementering? Herunder processer, forandring af adfærd, teknologisk understøttelse samt jura og aftaler Drift? Herunder allokering af opgaver, ejerskab af processer eller vedligeholdelse og rapportering Ved ikke 62,8% Andet Forventer I at anvende it-værktøjer til at opnå efterlevelse af persondataforordningen? Hvad vurderer du, er den største udfordring med at blive klar til EU s krav for din virksomhed? (vælg gerne flere) 28 procent forventer ikke at anvende it-værktøjer Over en fjerdedel af virksomhederne forventer ikke at anvende it-værktøjer til at efterleve persondataforordningen. Et fåtal forventer at skulle anvende relevante nye teknologiske værktøjer til at efterleve persondataforordningen. De teknologier, man forventer at anvende, er kryptering og styring af rettigheder. Klassiske teknologier der også er nævnt i forordningens tekst. Som GPDR-ansvarlig i en lille virksomhed er det ikke de store komplekse softwareprojekter, jeg leder efter, men snarere det modsatte: Værktøjer som gør lige nøjagtigt nok til, at jeg kan sove godt om natten. Vi ser to primære årsager til denne svarprocent. For det første er mange virksomheder endnu ikke kommet i gang, og de har derfor ikke overblik over arbejdet, herunder den nødvendige it-understøttelse. For det andet er en del af respondenterne ikke it-folk, men fra afdelinger som HR og jura, der formentlig undervurderer teknologiens betydning. Det er mindre overraskende, at kun et fåtal indtil videre har taget værktøjer som Data Discovery og digitale datastrømsanalyser i anvendelse. Det drejer sig om relativt nye og dermed ukendte teknologier. Overvej alvorligt brugen af teknologi til at understøtte arbejdet. Papir og manuelle processer er ikke et realistisk alternativ på den lange bane. Vær åben for de nye teknologier, og bliv klogere på dem. De vil være en af jeres arbejdsformer i en ikke så fjern fremtid. Under halvdelen af de adspurgte virksomheder har formaliseret projekterne, og i de tilfælde er det typisk store virksomheder, der i forvejen har en projektstruktur. Et stort flertal, 3/4, svarer, at de største udfordringer er forberedelse og implementering og ikke den videre drift, der skal sikre virksomheden ud over 25. maj 2018. Projektet opfattes af eksterne som et it/ Legal projekt. Vi betragter det også som et forandringsprojekt, der skal implementere en kultur. Det tyder på at danske virksomheder undervurderer persondataforordningen eller endnu værre de ved endnu ikke, hvad den går ud på. Mange af dem betragter det som et bump på vejen, et sideprojekt. Tag persondataforordningen alvorligt. Formalisér projekterne og giv dem den rette opmærksomhed. Der er ingen gode argumenter for at vente med at tage fat i de vigtigste områder. Start med de 10 hovedleverancer alle virksomheder bør have med i deres plan. Detaljerne kan vente, og kan også ændre sig undervejs, efterhånden som en accepteret praksis opstår. Principperne er klare, og giver tilstrækkelig retning for de fleste. Beskriv jeres beslutninger og argumenterne, der ligger bag. Teknologi kan anskaffes eller lejes efter behov. Ud- Det kunne tyde på, at en del virksomheder enten har en meget begrænset omgang med persondata i deres virksomhed, eller har undervurderet opgaven med fortsat at efterleve forordningen efter projektets afslutning, eller endnu være, har misforstået ånden i EU forordningen. peg de discipliner der bedst understøttes ved brug af teknologi, og skal leveres som services i forretningen. Teknologien kan desuden gøre vedligeholdelsen og dokumentation af efterlevelse mindre tung og ressourcekrævende. 8 9

ET SPØRGSMÅL OM MODENHED 6,5% 5,1% 11,3% Uklar. Vi ved ikke, i hvilket omfang vi har persondata, eller hvor de er placeret. Overvældet. Vi har en idé om, hvilke persondata vi behandler, men kender ikke processer eller nøjagtig placering. 26,3% Struktureret. Vi har styr på persondata, deres placering og vores behandling, men der kan godt være afvigelser, som vi ikke kender til. 50,7% Styret og dokumenteret. Vi følger løbende op på vores processer for at sikre, at de er effektive, og afrapporterer til ledelsen. Optimal. Vi arbejder løbende med at forbedre vores dokumenterede processer, og holder styr på ændringerne. Hvordan vil I vurdere jeres modenhed i relation til håndtering af persondata? Respondenterne blev bedt om at angive deres modenhed med hensyn til håndtering af persondata ud fra fem niveauer i Devoteams model for modenhed i databehandling. Halvdelen valgte det midterste niveau, Struktureret, mens niveauet under, Overvældet blev nr. 2. Virksomheder med forankring i it og teknologiunderstøttelse er de mest modne. Jeg tror, vi om nogle år vil se tilbage på GDPR som en slags milepæl, der markerede et brat og brutalt generationsskifte. Der er en indbygget bias i sådanne spørgsmål, og respondenten vil have en tendens til at overvurdere egne evner, mens man i virkeligheden nok er bagud. Det er dog endnu vigtigere, at virksomheden er sig modenheden bevidst, og arbejder aktivt på at komme fremad. Modenhed afspejles i virkelighed og adfærd, og forandringsledelse tager tid. Det er oftest ikke noget, der klares på nogle måneder, men kan tage år. Formålet med persondataforordningen er ikke, at der skal udarbejdes en masse dokumentation, men derimod at sikre en god adfærd i overensstemmelse med forordningens principper. Projektet er derfor ikke slut, når du er færdig med de planlagte aktiviteter, men når virksomheden har ændret adfærd. Pointen med forordningen er at ændre adfærd. Alt andet er kun papirnusseri og at please revisorerne. 10 11

OM DEVOTEAM Devoteam bistår offentlige og private virksomheder med deres digitaliseringsdagsorden. I 2016 fusionerede Devoteam og HerbertNathan & Co. for at skabe Skandinaviens ledende, uvildige konsulentvirksomhed inden for digital forretningsudvikling. I Danmark er de 100 konsulenter specialiseret i informationsteknologier og gennemførelse af digitaliseringsprojekter. Fra kontorerne i København og Århus hjælper Devoteam sine kunder med procesoptimering af deres forretning og etablering af nye digitale services. Desuden hjælper de it-afdelingerne med effektivisering og omstillingen til den nye virkelighed. Devoteam Danmark er en del af Devoteam Group, der er repræsenteret i godt 20 lande med i alt godt 4.000 konsulenter. Devoteam er børsnoteret i Paris. Du kan læse mere om Devoteam på http://www.devoteam.dk

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback