Databeskyttelse kan koste dyrt
Bankerne kan som andre private virksomheder få bøder i millionklassen, hvis ikke de overholder EU’s nye persondataforordning. Men fokus bør ligge på kundernes tillid og ikke på sanktioner, mener juridisk direktør i Finans Danmark Kenneth Joensen.
Efter mange års arbejde med et forældet direktiv har EU fornyet lovgivningen om persondata-beskyttelse i en omfattende forordning, der træder i kraft i maj 2018.
Både daglige arbejdsrutiner og kundekontakt vil blive præget af de nye regler, som skærper kravene til, hvordan virksomheder og organisationer håndterer og beskytter persondata.
"Bankerne skal ikke behandle andre eller flere data end tidligere. Men de skal i gang med at gå alle deres arbejdsprocesser efter i sømmene for at sikre, at de overholder den nye lovgivning", siger juridisk direktør Kenneth Joensen, Finans Danmark.
Compliance omkring den nye forordning prioriteres højt, fordi bankerne løber en langt større risiko end tidligere ved ikke at overholde reglerne.
Med et sanktionsniveau på op til 20 millioner euro eller fire procent af virksomhedens samlede årlige globale omsætning, hvis dette beløb er højere, bliver der tale om bøder, der kan påvirke årsregnskabet mærkbart.
Men det bør ikke få bankerne til at fokusere på risikoen for at blive straffet økonomisk, mener Kenneth Joensen.
"Vi lever af, at kunderne har tillid til os og til, at vi kan passe på deres penge. Derfor handler det ikke om at undgå bøder eller sanktioner, men om at bevise, at vi kan håndtere persondata på en god og forsvarlig måde", siger han.
Daglige rutiner
EU-forordningen indfører en række nye bestemmelser og rettigheder, der skal indarbejdes i de daglige rutiner.
En af dem er retten til dataportabilitet. Den betyder, at kunden til enhver tid skal kunne bede om at få udleveret sine data i et it-format, for eksempel en usb-nøgle, som kan tages med over i en anden bank.
"Vi har ikke været vant til at skulle udlevere oplysninger om vores kunder. Det giver os nye tekniske og praktiske udfordringer. Hvad stiller vi for eksempel op med personfølsomme oplysninger fra en mail, hvori kunden oplyser om, at han eller hun er alvorligt syg," spørger Kenneth Joensen.
Så få data som muligt
En anden nyskabelse er, at virksomheder og organisationer skal minimere datamængden og kun behandle de personoplysninger, der er nødvendige i forhold til formålet med at indsamle dem.
Derfor skal bankmedarbejdere kontinuerligt spørge sig selv, om indsamlingen af data fra en kunde har et sagligt formål, fortæller Tina Brøgger Sørensen, partner i Kromann Reumert.
"Bankerne skal til enhver tid kunne dokumentere over for Datatilsynet, at reglerne overholdes. Derfor bør de ansatte have klare retningslinjer for, hvordan de skal håndtere personoplysninger. Som medarbejder må man forvente, at der kommer langt flere interne politikker på området", siger hun.
Kunderne bliver langt mere bevidste om deres rettigheder, når forordningen træder i kraft, blandt andet fordi den får opmærksomhed i medierne, fremhæver Tina Brøgger Sørensen.
"Vi må forvente, at kunderne i højere grad vil gøre brug af deres ret til for eksempel at få indsigt i, hvilke data banken har registreret om dem. Hvis ikke banken kan opfylde kravene, øges risikoen for, at kunderne klager til Datatilsynet, og at der dermed kommer en sag ud af det.
Databeskyttelse bliver en central del af ledelsens strategi. Det skyldes risikoen både for bøder og for, at kunderne mister tillid og skifter til en konkurrent, der er bedre til at tage vare på kundens data", siger Tina Brøgger Sørensen.