Når Persondataforordningen træder i kraft lige om et øjeblik, kan Acubiz se tilbage på to års arbejde med at blive klar. Advokatfirmaet Horten har været en vigtig brik som rådgiver på udarbejdelsen af Acubiz’ databehandleraftaler – en proces som Lars de Nully, CEO & Founder hos Acubiz, satte i gang tidligt.
”Det er forbilledligt den tilgang Lars de Nully har haft til Persondataforordningen – at se det som en mulighed frem for en byrde,” fortæller Mads Nygaard Madsen, partner hos advokatfirmaet Horten. Allerede for to år siden gik de to i gang med at udarbejde de første skitser til Acubiz’ databehandleraftale, hvilket var tidligt i forhold til mange andre virksomheder.
Griber ind i alt
”Vi har selv hos Horten været tidligt ude for at opbygge en stærk persondatagruppe, der kan rådgive vores klienter om forordningen – bl.a. oprustet på medarbejderfronten med forskellige kompetencer – nogle med kompetencer inden for IT-retten andre inden for ansættelsesretten og igen andre med faglighed inden for markedsføringsretten. Persondataloven griber ind i alt andet, så man bliver nød til at have en vis viden – ikke mindst som advokatfirma”, siger Mads Nygaard Madsen.
Op- og nedture undervejs
”Det er altså ikke lysten, der har drevet værket”, fortæller Lars de Nully, ”men da jeg fandt ud af, at det var uundgåeligt at gøre Acubiz klar til den nye lovgivning, valgte jeg at smøge ærmerne op og tænkte, så gør jeg det til en konkurrencefordel at være på forkant. Fra et ledelsesmæssigt perspektiv har der været ups and downs undervejs i forhold til oplevelsen af værdien af alle de ressourcer, som vi skulle investere i projektet. Men nu hvor Acubiz er helt klar – ja faktisk har været det siden januar og har databehandleraftaler med næsten alle kunder – så er det meget tilfredsstillende”, fortæller Lars de Nully.
Én standardaftale er ikke nok
Desværre er det ikke tilstrækkeligt med én standard databehandleraftale – indholdet i kontrakten skal forhandles på plads næsten fra kunde til kunde, siger Mads Nygaard Madsen:
”For Acubiz har vi nu udarbejdet to standardkontrakter – én til private virksomheder, og én til kommuner, som er baseret på kommunernes udarbejdede standard. Men vi må nogle gange – i samarbejde med Acubiz – tage nogle forhandlinger med kunderne og deres advokater, hvis de ønsker nogle andre vilkår, som rækker ud over vilkårene i standardkontrakterne og ikke er nødvendige for at leve op til Persondataforordningen.”
Landene fortolker GDPR-lovgivningen forskelligt
Det gør det heller ikke lettere med internationale kunder, når det har vist sig, at de enkelte EU-lande fortolker GDPR-loven forskelligt, fortæller Vivi Sejrsen, der er den GDPR-ansvarlige hos Acubiz:
”Vi har lige nu forhandlinger med en af vore kunder, der har hovedsæde i Sverige, og der har vi oplevet, at fortolkningen af GDPR-lovsættet er forskelligt, da det danske og det svenske datatilsyns fortolkning ikke er helt ens. Det giver nogle specielle udfordringer. Derfor er det også med stor interesse, at vi følger de nordiske datatilsyns tiltag om at lave en fælles standard”, forklarer Vivi Sejrsen.
”Arbejdet med databehandleraftalerne vil fortsætte - der vil hele tiden være behov for justeringer og brug af ressourcer på det”, afslutter Lars de Nully.