Nyt taxaselskab fokuserer på GDPR: Har vendt tilgangen til data på hovedet
Rundt omkring i de københavnske gader er en ny type taxaer dukket op. Hvor områderne omkring Hovedbanegården eller Højbro Plads tidligere var tætpakkede af sølvgrå og sorte Mercedes-biler med brummende dieselmotorer, så dukker der nu oftere og oftere en elbil op i form af en Tesla. Flere af hovedstadens taxaselskaber har barslet med planer om at bringe elbiler biler ind i flåden, og hos selskabet Viggo udgør de eldrevne Tesla-biler så godt som hele flåden.
Der står ingen tyske dieselhakkere i Viggo-garagen som et levn fra en fossil fortid, og det er der en grund til. Virksomheden med det grønne koncept er nemlig næsten nystartet og har levet hele sit forretningsmæssige liv efter indførelsen GDPR-forordningen.
Det har virksomheden brugt som et naturligt afsæt for at bygge alle sine systemer op om at være 100 procent GDPR-compliant.
»Vi har forsøgt at indrette os efter en tankegang, vi kalder privacy by design,« siger Kenneth Herschel, der er direktør i virksomheden, og fortsætter:
»Det betyder, at i stedet for bare at indsamle en masse data finder vi præcis de data, vi skal bruge, og så lader vi resten være. Når man som virksomhed er født i den her æra, skal man overveje, hvad det er for nogle data, man skal bruge; om man bare kan indsamle dem, eller om man skal spørge om lov.«
Nye regler udfordrer fortsat
Nervøsitet prægede perioden op til, at de nye GDPR-regler trådte i kraft i 2018. Mange virksomheder havde svært ved at finde ud, hvordan de skulle forholde sig til reglerne, og ikke mindst de markant mere mærkbare konsekvenser et brud på regelsættet kunne få.
Og de bekymringer eksisterer fortsat. Det understøtter en rundspørge foretaget af revisionshuset PwC. På baggrund af svar fra 325 danske erhvervsledere viser PwC’s Cybercrime Survey 2019, at 50 procent af respondenterne mener, at GDPR har været en byrde for forretningen. Det er en markant stigning målt i forhold til året før, hvor det tal blev opgjort til en tredjedel.
Læs mere om rapporten i vores Vidensbank: Topledelserne øger fokus på cybersikkerhed
Mange virksomheder har derfor sendt medarbejdere på kurser for at få dem certificeret, alt imens man internt i virksomhederne kæmper med at gennemgå diverse arbejdsgange for at få dem til at flugte med reglerne.
I samme undersøgelse peger 17 procent af respondenterne på, at GDPR har krævet store omlægninger af forretningen, og mens hver tredje har ansat nye folk til at løfte opgaven, har fire ud af ti foretaget nye teknologiinvesteringer.
Læs mere hos Digitech: Under hver tredje erklærer sig GDPR-compliant
»Hvis du har haft en virksomhed i 20 år, og først nu skal til at indrette dig efter de nye regler, skal du virkelig lave en masse oprydningsarbejde,« vurderer Kenneth Herschel, der har en fortid, hvor han blandt andet har udviklet applikationer og derfor interesserer sig en del for data.
Tænker altid GDPR ind
En af måderne, man hos Viggo løbende holder virksomhedens fokus på GDPR ved lige, er ved hjælp af den føromtalte tilgang kaldet privacy by design.
»Når vi siger privacy by design, betyder det egentlig bare, at vi kun indsamler det data, vi har brug for. Det er det mindset, vi finder frem, hver gang vi skal lave en ny feature,« siger direktøren, der beskriver arbejdet som tre trin, hvor man først indkredser den nødvendige data, sikrer gennemsigtigheden og så sørger for, at nye features flugter med det generelle setup for at sikre compliance.
Læs mere hos vores søstermedie Datatech: Vestager: GDPR-rettigheder skal virkeliggøres, hvis loven skal have troværdighed
(Artiklen fortsætter efter grafikken)
Den omfattende tilgang ville man ifølge Kenneth Herschel aldrig tidligere have implementeret som standard i en virksomhed. Og det har da også en pris, forklarer han.
»Det betyder også, at vi marketingmæssigt kan blive begrænset, fordi vi for eksempelvis ikke kan benytte data til retargeting. Så hvis du spørger vores marketingafdeling, ville de nok ønske, at reglerne var anderledes.«
Bødehæftet har været fremme
Der er flere grunde til, at man hos Viggo løbende arbejder med at opretholde compliance. For selvom det spås til at kunne blive et positivt konkurrenceparameter i fremtiden at have ansvarlig omgang med data, så har branchen set et brud på reglerne, der medførte en bøde. I foråret sidste år trak Datatilsynet bødeblokken frem og indstillede taxaselskabet 4x35 til en bøde på 1,2 millioner kroner for ikke at have slettet næsten 9 millioner taxature, der var personhenførbare, fordi de var koblet op på kundernes telefonnumre.
Det kan du læse mere om hos vores søstermedie Datatech: Datatilsynet politianmelder og indstiller første GDPR-bøde
Branchen er derfor en, som Datatilsynet har hold øje med, forklarer Kenneth Herschel, der ikke ønsker, at Viggo skal havne i samme klemme som kollegerne.
»I taxabranchen har vi set eksempler på, at et selskab fik en bøde. Der var et selskab, der fik en bøde for at have turinformationer koblet sammen med telefonnumre. Så der er givet en seriøs bøde i branchen,« siger han.
Det gør spørgsmålet om compliance endnu vigtigere for Viggo, der er i en vækstfase. Inden årets udløb har virksomheden proklameret, at man sigter efter at have 200 biler på gaden, og fremadrettet er ambitionen, at de grønne Viggo-biler skal køre i flere danske byer og sidenhen i både Norge og Sverige. Hvis den ambitiøse vækststrategi skal lykkes, kræver det blandt andet, at compliance-setuppet er så smidigt, at man uden problemer kan skalere.
»Det giver ro i maven hos mig, at vi fra dag et har tænkt ind, at vi skal være GDPR-compliant. Det betyder, at når vi skruer på knapperne og har 1.000 biler kørende i stedet for 50, er vores skalerbarhed intakt, og vi skal derfor ikke ind og lave om på noget,« forklarer direktøren.
Sådan kan du selv komme videre
Det er som regel lettere at starte med et blankt stykke papir, når man skal i gang med at tegne. Og opgaven med at bygge et compliant setup fra bunden har da også givet den fordel, at Viggo ikke har skulle begynde med en stor oprydningsoperation i gamle it-systemer og procedurer som i et ældre firma.
Men står man i en situation, hvor man har ambitioner om at overgå til mere smidigt system, som løbende holder snor i persondata, og samtidigt gør det muligt at håndtere kunders eventuelle ønsker om at udnytte retten til at blive glemt, så er det faktisk muligt at skrue på rigtig mange eksisterende systemer. Det forklarer Viggo-direktøren, der opfordrer til, at man går professionelt til opgaven.
»Hvis man ikke selv har snilde for det, vil jeg foreslå, at man henvender sig til en GDPR-konsulent og får vedkommende til at kigge ens systemer igennem. Det meste software kan tilrettes, så det bliver compliant. Jeg tror, at det værste, man kan gøre, er at lade stå til og så bare håbe på, at den går,« siger han og fortsætter:
»Som leder er det enormt vigtigt, at man forstår det enorme ansvar, der ligger i at være GDPR-compliant. Ud over at bøden kan være stor, så er det moralske ansvar også kæmpestort.«
Du kan også læse videre her og lade dig inspirere: Bliv klogere på GDPR og kunstig intelligens
- Stiftet i 2019 og fik første biler på gaden i oktober 2019
- Ejerkredsen er Nurt Ventures, Mourier Capital Holding og PBH Invest
- Bestyrelsesformand Peter Bardenfleth-Hansen
- 50 biler på gaden og forventer 200 i København inden årets udgang
- 15 medarbejdere og kontor i København og Vilnius
- Forventer at udvide internationalt med flere byer i 2020
- 20.000 registerede brugere