Daily Archives: May 3, 2016

Flere og flere CIO’er får virksomhedens CEO – den administrerende direktør – som sin egen chef.

Det skriver vores kolleger på det britiske CIO-medie, der har spurgt 100 CIO’er, hvem de refererer til.

56 procent af CIO’erne svarer, at de rapporterer direkte til CEO’en.

25 procent har CFO’en som chef, 10 procent rapporterer til COO’en og ni procent har andre chefer.

De 56 procent af CIO’erne, der altså banker på CEO’ens dør ganske ofte, er en stigning på syv procentpoint i forhold til 2015.

Samtidig er der sket en stigning fra 37 til 43 procent, når det kommer til, hvor mange CIO’er, der sidder med i direktionen i virksomheden.

Flere direktører går op i digitalisering
Computerworld skriver ofte om den nye CIO-rollen og om CIO’erne, der er under pres i mange virksomheder i dag.

Mens der står mere it og digitalisering på programmet i de fleste virksomheder, er det ikke givet, at det det kun er CIO’en, der har digitale visioner og det digitale ansvar.

Virksomhedens CEO, CFO, CDO, CMO og alle andre typer af ledere har nemlig også en digital aktie i år 2016.

Læs også: It-chefen er under pres – formår du at kæmpe dig til fremtidens CIO-stilling?

Set i det lys er det heller ikke helt uvæsentligt, hvordan CIO’ens/it-chefens egen funktion er placeret i virksomheden og dermed hvilken chef, som it-chefen selv refererer til.

Sådan ser det ud i Danmark
Vi kårer om to måneder Årets CIO i Danmark sammen med IDC og Dansk IT.

I forbindelse med indstillingerne til titlen er de nominerede blevet spurgt, hvem de rapporterer til? 

Her svarer tre af fem nominerede, at det er CFO’en, mens en rapporterer til CEO’en og en til CDO’en (digital direktør).

Læs også: Årets CIO 2016: Her er Danmarks fem bedste it-chefer

For et halvt års tid siden bragte vi et længere interview om fremtidens CIO med Peter Søndergaard, der er senior vice president og står i spidsen for Gartner Research på globalt plan.

Her spurgte vi blandt andet, hvad man især skal fokusere på, hvis man vil bevare og styrke sin CIO-position i fremtiden?

“At forstå hvad det er for en virksomhed og en forretningsmodel, man arbejder med, og at være ekstremt god til at kommunikere – til det, vi kalder storytelling: At fortælle historier og at linke det til forretningen.”

“Og så selvfølgelig til at inspirere sin egen organisation,” sagde Peter Søndergaard i interviewet, som du kan læse her.

Læs også:

Årets CIO 2016: Her er Danmarks fem bedste it-chefer

It-chefen er under pres – formår du at kæmpe dig til fremtidens CIO-stilling?

Det meget udbredte it-system Lectio lever ikke op til lovens krav om revisionsgodkendelse.

Det kan i sidste ende føre til, at systemet lukkes ned.

Dermed risikerer tusindvis af gymnasielærere og elever at miste adgangen til at se undervisningsskemaer og udveksle dokumenter og beskeder.

Alene på gymnasieområdet er ni ud af 10 skoler koblet på Lectio, som også benyttes på en række ungdomsuddannelser og voksenuddannelser.

Ifølge en bekendtgørelse fra Undervisningsministeriet var 1. april sidste frist for at få Lectio godkendt hos en statsautoriseret revisor.

Godkendelsen skal sikre, at Lectio-systemet lever op til revisionsstandarden ISAE 3402, som blandt andet handler om datasikkerhed og beskyttelse af brugernes personlige data.

Det er it-firmaet Macom, der står for at levere og drive Lectio.

Men en måned efter fristens udløb kører Lectio i strid med reglerne videre, uden at ministeriet har modtaget den krævede revionserklæring fra Macom.

Gymnasier er frustrerede
I gymnasierektorernes forening, Danske Gymnasier, undrer formand Anne Birgitte Rasmussen sig over, at Macom ikke har sørget for at få de nødvendige revisionserklæringer på plads.

“Vi har holdt møde med Macom, hvor vi har givet udtryk for vores frustration over, at der ikke er nogen systemgodkendelse 1. april. Så nu er vi usikre på, hvad der skal ske,” siger Anne Birgitte Rasmussen.

Hun understreger, at gymnasierne er meget glade for at bruge Lectio-systemet.

“Det er fleksibelt, der er god support, og de er ret hurtigere til at tilpasse sig, hvis der kommer nye fag eller andre ændringer i skolernes hverdag,” siger hun.

Hun frygter, at sagen kan ende med, at Undervisningsministeriet vil kræve, at skolerne stopper brugen af Lectio indtil systemet er blevet testet af en revisor.

“Jeg kan forestille mig, at ministeriet i sidste ende vil sige, at vi ikke kan bruge Lectio, fordi det ikke lever op til kravet om en revisionserklæring. Men vi vil meget gerne arbejde med ministeriet, så vi eventuelt kan få en dispensation indtil tingene går i orden,” siger hun.

Ifølge vicedirektør Aino Olsen fra Undervisningsministeriets styrelse for it og læring har gymnasierektorerne grund til at være bekymrede.

“Vi ser med stor alvor på, at et stort antal skoler lige nu ikke har et it-system, der er revisionsgodkendt,” siger Aino Olsen.

Hun kan godt forestille sig, at den manglende revisionsgodkendelse vil føre til, at gymnasierne må stoppe med at bruge Lectio.

“Vi er i dialog med Danske Gymnasier og erhvervsskolernes ledere for at finde ud af, om de skal bede om en dispensation, eller om de skal skifte til et andet godkendt system,” siger Aino Olsen.

Styrelsen er en stat i staten
Hos Lectio-leverandøren Macom vil direktør Martin Holbøll ikke svare på, hvorfor firmaet ikke har fået revisionsgodkendelse af systemet.

Han skyder sagen til Styrelsen for It og Læring, som ifølge ham har haft ansvaret for systemerevisionen siden 2008, uden at man i den periode har gjort noget for at få systemet godkendt.

“Vi spørger os selv, om det er fordi, at styrelsen ikke har kunnet eller ikke har villet,” siger Martin Holbøll.

Men ifølge bekendtgørelsen fra ministeriet er det Macom, der har ansvaret for systemrevisionen.

“Styrelsen har et habilitetsproblem. Den leverer selv it-systemer til erhvervsskolerne og en del af erhvervsgymnasierne. Det er lidt tankevækkende, at man både kan være leverandør og myndighed der stiller krav om systemrevision, plus at man fungerer som ministeriets rådgiver på it-området. Hvis det her var et land, der modtog udviklingsstøtte, var det blevet lukket på stedet.

Men der ligger et krav om, at der skulle ligge en systemrevision pr. 1. april. Hvad siger du til det?

“Den virkelige historie i det her er, hvordan det her har kunnet foregå. Styrelsen er en stat i staten, der fungerer fuldstændig autonomt som myndighed og rådgiver (for Undervisningsministeriet, red.),” siger Martin Holbøll.

Læs også:
Nu skal Skoleintra sendes på pension: Her er planen for den nye version

Efter flere års forsøg: It bliver officielt fag i danske gymnasier

Når du skal spise en elefant, er det altid en god ide at tage én bid af gangen.

Således gælder det også fordøjelsen af EU’s persondataforordning, som er gældende lovgivning i alle EU-medlemsstater inklusiv Danmark fra cirka midten af 2018.

Ved første øjekast kan forordningen virke som en næsten uendelig strøm af stramninger og kringelkroge af regelsæt, der ved overtrædelse både kan koste bøder i forhold til omsætningen og prestigetab ved meldepligt om tabte data

Det kan du læse mere om her: Disse tre ting i EU’s nye persondata-lov er danske virksomheder især bekymrede over

Det er ikke raketvidenskab
En god, systematisk planlægning er dog vejen frem igennem den digre persondataforordning ud fra devisen, at hvis du fejler i din planlægning, planlægger du at fejle.

Du og din virksomhed har omkring to års tid til at forberede jer på den nye persondatalovgivning.

Det er ikke er oceaner af tid set i lyset af, hvor omfattende det nye lovkompleks bliver.

Derfor serverer Computerworld dig med hjælp fra advokat og partner Michael Hopp fra advokatfirmaet Plesner syv gode råd til at blive persondata-klar.

“At blive klar til persondata-reglerne er absolut ikke rocket science, men det er dataarbejde på den hårde måde,” forklarer Michael Hopp indledningsvist.

1. råd: Skab overblik over data
Advokaten foreslår, at du først og fremmest skal finde ud af, hvad det egentlig er for nogle persondata, som din virksomhed skal beskytte.

Konkret peger han på, at den indledende del af dataarbejdet foregår ved at klassificere og kortlægge virksomhedens persondata.

Det gælder lige fra alle data som oplysninger om kontaktpersoner i sælgernes CRM-systemer over indsamling af e-mailadresser og telefonnumre ved konkurrencer i marketingafdelingen og så til de mere følsomme persondata.

“Overblikket skabes ved, at relevante dele af forretningen sætter sig ned sammen og finder ud af hvilke former for data, som virksomheden ligger inde med både lokalt og hos cloud- og outsourcingpartnere. Her er it-afdelingen et godt sted at starte,” lyder det fra Michael Hopp.

I denne fase peger advokaten på, at din virksomhed skal kigge indad og spørge sig selv om, hvilke data I har liggende, hvor kommer de fra, hvor længe gemmer I disse data, og hvem deler man dem med.

2. råd: Hvad gælder for jer?
Når I har kortlagt og klassificeret data, er det på tide at finde ud af hvilket bestemmelser i forordningen, som gælder jeres virksomhed.

For det kan blive dyrt ikke at overholde reglerne. Men omvendt er det også dyrt at bruge ressourcer på at overholde krav, som man hverken er forpligtet til eller af anden årsag har interesse i at overholde.

“Ikke alle regler er altid relevante for alle virksomheder. Nogle af bestemmelserne er skærpende – eksempelvis kravene om behandling af følsomme oplysninger – mens andre andre bestemmelser undtager for pligter. Det er for eksempel ikke alle virksomheder, der skal udpege en data protection officer,” siger Michael Hopp.

Læs også: Skal din virksomhed have en ‘data protection officer’?… og kan indkøbschefen bruges?

3. råd: Kig på jeres nuværende praksis
I forordningen er der generelt flere skærpelser end lempelser, og derfor skal din virksomhed som udgangspunkt også have styr på, hvordan I overholder reglerne i dag.

“Der vil sandsynligvis være mange, der har behov for at justere deres processer og praksis for at leve helt op til reglerne,” siger Michael Hopp.

Han peger på, at I skal analysere jer frem til, om I har huller i overholdelsen af de nuværende regler, og om der er nogle alvorlige og åbenlyse mangler, som kræver umiddelbar handling her og nu.

“Her skal virksomheden kort og godt spørge sig selv: hvordan bruger vi persondata i dag, og er det i overensstemmelse med forordningen,” forklarer Michael Hopp.

4. råd: Beskriv virksomhedens kontrolmål
Når virksomheden har fået styr på sin nuværende praksis omkring opbevaring, brug, sletning og deling af persondata ifølge forordningen, er det på tide at kigge fremad mod den løbende vedligeholdelse af forordningen.

Læs også: Sådan gør Coop sig klar til nye skrappe persondata-regler fra EU

Det skal gøres ved at beskrive de målsætninger, som I skal leve op til med de nye regler.

“Denne øvelse handler om at udtrække essensen af forordningens 99 artikler til en række konkrete målsætninger,” forklarer Michael Hopp.

Han eksemplificerer det med, at disse målsætninger kunne være, at der skal iværksættes processer og kontroller til at sikre, at man overholder slettefrister. Det kunne også dreje sig om indsamling af mailadresser til markedsføringsformål, hvor I systematisk skal sikre jer, at alle har samtykket til brugen.

“Vent med at tage stilling til, hvordan I konkret vil opfylde målsætningerne. En del af dem opfylder I måske allerede, og for de øvrige målsætningers vedkommende giver det mening at overveje, hvordan I mest hensigtsmæssigt kan opfylde dem,” siger Michael Hopp og fortsætter:

“Når I har overblik over alle kravene, vil I have bedre mulighed for at designe løsninger, hvor enkelte processer eller kontroller bidrager til at opfylde flere kontrolmål.”

5. råd: Foretag en risikovurdering
Advokaten forklarer, at store dele af EU’s persondataforordning – og dermed den kommende lovgivning – bygger på nødvendigheden af at nedbringe risikoen for de registrerede personer.

“Man skal gøre, hvad der er nødvendigt for at nedbringe risikoen for den registrerede til et acceptabelt niveau. Med andre ord – man er ikke forpligtet til at opretholde foranstaltninger, hvis det ikke er nødvendigt for at nedbringe en risiko,” siger Michael Hopp.

Han peger på, at risiko i denne forbindelse ikke blot er rettet mod almindelig sikkerhed, men også mod, om man overtræder de almindelige krav i forordningen.

“Med andre ord: man skal foretage en risikovurdering eksempelvis i forhold til, hvad risikoen er for, at man ikke overholder slettepligten, og hvad konsekvensen af manglende overholdelse vil være for den registreredes ret til beskyttelse af sine persondata,” siger han. 

Læs også: Opråb til alle chefer: EU-stramningen af persondata-reglerne er dit ansvar

Samtidig er en virksomhed dog forpligtet til at dokumentere, hvordan den har overvejet relevante risisci herunder ikke mindst de risici, som man vælger ikke at fokusere på.

“Her er grundspørgsmålet: hvor alvorligt er det, hvis det går galt?” nævner Plesner-advokaten og fortsætter:

“Virksomheden skal have for øje, at optimal og maksimal indsats ikke er det samme. Førsteprioritet omkring risikovurderingen vil ofte ligge i de følsomme oplysninger som eksempelvis helbredsoplysninger om kontaktpersoner i virksomhedens CRM-system.”

6. råd: Design løsningen
Når virksomheden har fået overblik over dens nuværende beholdning af persondata, processer og kontroller til fremtidig styring af data og de områder, hvor den i dag ikke lever op til forordningen, er det på tide at få klargjort, hvordan virksomheden så kommer på plads med manglerne.

“Det gælder både de konkrete mangler i forhold til aktuelle behandlinger i dag, og så mangler i forhold til opfyldelse af kontrolmål, hvilket vil sige processer for sikring af fremtidig overholdelse,” siger Michael Hopp.

Han peger her på henholdsvis tredje råd og fjerde råd i denne oversigt.

Han forklarer, at det nu er på tide at designe og dimensionere løsningernes håndtering af persondata i overensstemmelse med den risikoanalyse, som er beskrevet under femte råd.

“Det hele skal dokumenteres omend i varierende detaljeringsgrad. For du overtræder reglerne, hvis du bliver udsat for kontrol og ikke kan svare. Med andre ord skal du have dokumentationen på plads, hvis/når myndighederne kontakter dig,” lyder det fra Michael Hopp.

Tilmeld dig Computerworlds heldags-seminar om den nye persondataforordning: Computerworld Event: Bliv klar til EU’s nye persondataforordning.

7. råd: Konkret implementering og opfølgning
Når alt er diskuteret og dokumenteret i form af fremtidige processer og nuværende mangler, skal I have implementeret det kommende regelsæt i praksis – og ikke mindst planlægge hvordan I løbende følger op på implementeringen.

Læs også: Så voldsomt vil nye EU-regler ramme danske virksomheder: 10 virksomheder vil skulle erkende hacker-angreb hver eneste dag

For ingen perfekt plan hjælper noget, hvis den ikke bliver ført ud i livet, og der bliver fulgt op på den.

“Implementering af forbedringer samt nye processer og kontroller bør følge virksomhedens normale processer for gennemførelse af forandringer. Her er det vigtigt ikke at undervurdere de organisatoriske og psykologiske faktorer, samt det heraf afledte behov for forandringsledelse,” siger Michael Hopp.

Han pointerer, at både implementering og opfølgning formentlig kræver intern uddannelse af alle medarbejdere, der har at gøre med persondata – især hvis disse medarbejdere ikke ved, at de behandler persondata.

“Mange tænker eksempelvis ikke over, at de sidder med persondata mellem hænderne, når de modtager et CV til en jobansøgning. I disse tilfælde skal medarbejderne være opmærksomme på særlige regler og procedurer,” forklarer Michael Hopp.

Advokaten runder virksomhedens huskeliste af med at tilskynde til opfølgning af, hvorvidt reglerne og virksomhedens processer nu også bliver overholdt i praksis efter en periode på tre til seks måneder.

“Det ses ofte, at forandringer ikke slår igennem i virksomheder, der ikke følger op. I så fald kan indsatsen i rådene fra 1 til 6 give ledelsen en falsk tryghed, hvilket i sidste ende kan være værre end en positiv viden om tingenes reelle og måske mangelfulde tilstand.”

Læs også:
Overblik: Få styr på EU’s nye persondata-forordning – her er alt du behøver at vide

Tilmeld dig Computerworlds heldags-seminar om den nye persondataforordning: Computerworld Event: Bliv klar til EU’s nye persondataforordning.