Från och med den 25 maj är GDPR nu en realitet. Acubiz ser tillbaka på två år av förberedelser inför denna dag. Advokatfirman Horten har spelat en viktig roll som rådgivare vid upprättandet av Acubiz personuppgiftsbiträdesavtal - en process som Acubiz VD och grundare Lars de Nully initierade i ett tidigt skede.
Mads Nygaard Madsen, partner på advokatbyrån Horten, berättar att "Lars de Nullys inställning till GDPR är mycket idealisk - att se den som en möjlighet snarare än en börda." Redan för två år sedan började de två skissera Acubiz databehandlingsavtal, vilket var tidigt jämfört med andra organisationer.
Påverkar många områden
"Även här på Horten har vi försökt att börja tidigt med att skapa ett starkt personuppgiftsteam som kan ge våra kunder råd om förordningen. Teamet består bland annat av medarbetare med olika kompetenser inom IT-rätt, arbetsrätt och marknadsrätt. Den allmänna dataskyddsförordningen påverkar så många områden, så du måste ha viss kunskap - särskilt som advokatbyrå", säger Mads Nygaard Madsen.
Upp- och nedgångar längs vägen
"Processen har inte varit frivilligt driven", berättar Lars de Nully, "men när jag fick reda på att det var oundvikligt att förbereda Acubiz för den nya förordningen bestämde jag mig för att sätta igång och tänkte att det måste vara en konkurrensfördel att ligga i framkant av den här processen. Ur ett ledningsperspektiv har det varit upp- och nedgångar längs vägen när det gäller upplevelsen av värdet av alla de resurser som vi var tvungna att investera i projektet. Men nu, när Acubiz är helt redo, och har varit det sedan januari och har databehandlingsavtal med nästan alla kunder - det är mycket tillräckligt", säger Lars de Nully.
Ett standardavtal är inte tillräckligt
Tyvärr räcker det inte med bara ett standardavtal för databehandling - innehållet i avtalet, förhandlingarna och justeringarna varierar från kund till kund, säger Mads Nygaard Madsen:
"På uppdrag av Acubiz har vi nu utarbetat två standardavtal - ett för privata företag och ett för kommuner, som bygger på den utarbetade standarden för kommuner. Ibland måste vi, tillsammans med Acubiz, förhandla med kunder och deras advokater om de begär andra villkor som går utöver villkoren i standardavtalen och villkor som inte är nödvändiga för att följa den allmänna dataskyddsförordningen."
Länder tolkar GDPR på olika sätt
De internationella kunderna gör det inte lättare, eftersom det har visat sig att enskilda EU-länder tolkar GDPR olika", säger Vivi Sejrsen, GDPR-ansvarig på Acubiz:
"Vi förhandlar för närvarande med en av våra kunder, med huvudkontor i Sverige, och vi har upplevt att tolkningen av den allmänna dataskyddsförordningen är annorlunda, eftersom tolkningarna av de danska och svenska dataskyddsmyndigheterna inte är riktigt desamma. Det skapar en del specifika utmaningar. Därför är det av stort intresse att vi följer de nordiska dataskyddsmyndigheternas initiativ för att skapa en gemensam standard", förklarar Vivi Sejrsen.
Lars de Nully: "Arbetet med personuppgiftsbiträdesavtalen är ett ständigt pågående projekt - det kommer alltid att finnas behov av justeringar och behov av resurser för att arbeta med dessa justeringar", avslutar han.
