De fleste virksomheder og offentlige organisationer er efterhånden klar over at 25. Maj 2018 træder EU persondataforordningen – også kaldt GDPR – i kraft. Mange søger rådgivning og viden om hvad det konkret betyder for deres forretningssystemer. Hvad skal systemerne kunne? Hvilke data skal kunne slettes? Hvilke skal kunne anonymiseres? Hvilke er OK at bibeholder? Hvilke bruger- og systemtekniske funktioner tilbyder leverandørerne?

Spørgsmålene er mange, og der findes efterhånden også svar på de fleste af dem, især de juridiske. Det er dog stadig vagt hvorledes det sidste af spørgsmålene besvares, dvs. hvordan er det systemerne konkret håndterer kravene i GDPR. De fleste leverandører af forretningssystemer (ERP, HR, Løn, CRM, o.s.v.) har været i gang med at udvikle funktionalitet til at svare på dette. Det er dog ikke mange af dem der har kunnet vise kunderne hvorledes de konkret opfylder disse krav.

Gennem vores kontinuerlige markedsundersøgelser oplever vi de nyeste tiltag i systemerne. Alle har været klar over udfordringen, men ligesom kunderne har konkretiseringen i krav til teknik og funktionalitet været udfordrende for leverandørerne. Nogle leverandører ved endnu ikke helt hvorledes de skal opfylde kravene. En stor gruppe er stadig i gang med konkrete udviklinger, som ikke kan leveres endnu, men dog demonstreres i en vis udstrækning. Og så er der en lille gruppe af leverandører, som har været tidligt ude, og allerede for flere år siden afsatte dedikerede ressourcer til at indgå i en dialog med EU, om konkretisering af kravene.

Timingen af leverandørernes fokus på udfordringen har været afgørende for deres evner til at opfylde svarene i skrivende stund. Inden for HR systemerne er der mange persondata i alle typer af følsomhedsniveau. Derfor har HR-systemleverandørerne selvfølgelig haft et stort fokus på at kunne levere konkrete løsninger til GDPR kravene. Flere af disse leverandører har sågar afsat dedikerede GDPR ressourcer for nogle år siden, for tidligt at tage hensyn til arkitekturen, datamodel og den funktionelle brugeroplevelse i deres løsning.

Én af leverandørerne, Cornerstone, præsenterede for lidt over en måned siden hvordan de helt konkret på datamodel-niveau og i funktionaliteter vil møde kravene, eksempelvis selvbetjening for medarbejdere og opsigende medarbejdere til selv at forholde sig til hvilke data de vil tillade, virksomheden kan beholde, og på hvilket niveau (f.eks. anonymiseret). Med udgangen af oktober blev det hele releaset, dvs. et halvt år før GDPR træder i kraft. Det ser vi ikke meget af i leverandørmarkedet for forretningssystemer, hvilket ifølge dem selv er drevet af at sikre kunderne et serviceniveau, som er affødt af et stærkt konkurrencepræget cloud-marked, hvor compliance i alle de lande man tilbyder sin løsning er en differentiator.

Det kunne være interessant at høre hvorledes konkretisering i systemerne opleves af andre. Har I andre eksempler på systemer eller leverandører, der er fremme i skoene på GDPR eller det modsatte?