”Det er vores lykke nu, at vi har været i gang på et meget tidligt tidspunkt.”

Sådan siger digital direktør i JP/Politikens Hus Søren Svendsen om forberedelserne til EU’s nye persondata-forordning, der bliver aktiveret 25. maj.

Som TV 2 og mediebureauet MediaCom fortalte til Journalisten i sidste uge, arbejder medier og bureauer på højtryk for at leve op til forordningen, hvis hovedpunkter du kan læse mere om her.

Når forordningen aktiveres, skal alle virksomheder have et overblik over samtlige oplysninger, de har om deres brugere. De skal også være klar til at give brugerne indsigt i alt fra ip-adresser til mailadresser – og være klar til at slette meget af det på brugernes kommando.

Overtræder man reglerne, kan man få bøder på op til fire procent af den årlige globale omsætning.

Søren Svendsen fortæller:

”For tre år siden ansatte vi en koncerndatachef i erkendelsen af, at data er et vigtigt område for os, kommercielt og juridisk. Og i løbet af det første år stod det klart, at persondataforordningen ville være en hovedopgave. Det stod meget hurtigt klart for os, at det her var en større sag.”

Adskillige ansatte involveret

Arbejdet med forordningen bliver koordineret af en central enhed med tre fuldtidsansatte: Koncerndatachefen, en projektleder og en teknisk ansvarlig. I det centrale team sidder også to studentermedhjælpere, og arbejdet stopper ikke her.

Koncernen har også udpeget en persondata-ansvarlig i hver af mediehusets fem forretninger: Politiken, Ekstra Bladet, Jyllands-Posten, Politikens Forlag og Politikens Lokalaviser.

”Det er personer, der i forvejen beskæftigede sig med data – med analyser eller produktudvikling. Nu bruger de nok 40-50 procent af deres tid på forordningen,” fortæller Søren Svendsen.

Derudover er mange andre ansatte også involveret i forberedelserne: For eksempel HR-folk, analyseafdelinger, regnskabsafdelinger og abonnementsafdelinger.

”Begrebet persondata er meget vidtgående,” som Søren Svendsen siger det.

Medier i samme båd

Journalistens andre kilder tegner et lignende billede: Arbejdet med forordningen forgrenede sig hurtigt.

Morten Kristensen, direktør i mediebureauet MediaCom, sagde til Journalisten i sidste uge:

”Vi har arbejdet seriøst med forordningen i mere end et år. Jeg vil anslå, at den berører cirka 25 mennesker på tværs af Norden, som har arbejdet med det i 18 måneder. Vi bruger rigtig meget tid på det.”

Og digital direktør hos TV 2 Anders Blauenfeldt fortalte:

”Forordningen rammer mange forskellige områder. Det er ikke ét projekt. Det er mange projekter.”

Mange typer af data

JP/Politikens Hus startede arbejdet med at danne sig et overblik over alle mediehusets datastrømme.

”Grundlæggende drejer det sig om at foretage en kortlægning, så du ved, hvad du har. Hvilke systemer der håndterer data. Og hvilke mennesker der håndterer data. Der er en masse systemer og dokumentation, helt ned til Excel-ark, du skal have styr på,” siger Søren Svendsen.

Mange forskellige former for data er involveret, fortæller Søren Svendsen, men siger:

”Adfærdsdata er den store klump.”

Det vil sige: Data om, hvordan læserne bevæger sig rundt på de digitale medier. 

”Omfattende” mængde adfærdsdata

JP/Politikens Hus har samlet en ”omfattende” mængde adfærdsata, fortæller Søren Svendsen.

”Adfærdsdata har været en præmis, siden vi begyndte at udgive digitalt. Nu kunne man pludselig få viden om, hvordan brugerne bevæger sig rundt på en hjemmeside. Så man for eksempel på forsiden kan sørge for, at de ting, der bliver læst og brugt mest, ligger i toppen – og få information om, hvordan man bedst servicerer læserne,” siger han. 

Adfærdsdata har også stor betydning for annoncesalget.

”Hvis nu vi ved, at 25-50-årige kvinder færdes ret meget på vores krimsider, så vil annoncører, der henvender sig til dén målgruppe, være mere interesserede i at ligge på krimsiderne,” siger Søren Svendsen.

Forordningen forbyder ikke indsamling af den slags data. Det skal bare foregå langt mere transparent, og brugerne får retten til at blive slettet. Og trods besværet vil forordningen ikke medføre ”en grundlæggende forandring i JP/Politikens Hus’ måde at drive forretning på”, fortæller Søren Svendsen.

EU er dog på vej med nye cookie-regler, der kan vende op og ned på digital annoncering. Det vender vi tilbage til.

JP/Politikens Hus har også skullet danne sig et overblik over for eksempel data om abonnenterne – og redaktionelle databaser, hvor der stilles større krav til datasikkerheden.

Svært at forstå reglerne

Og så går der meget tid med simpelthen at forstå reglerne, fortæller Søren Svendsen.

”I øjeblikket kommer der nogle ret væsentlige vejledninger fra Datatilsynet, som man skal forstå, fortolke og finde ud af, hvordan man implementerer,” siger han.

I sidste uge tegnede Anders Blauenfeldt fra TV 2 et lignende billede:

”Det er jo komplekst. Og derfor ender man med at have en del tolkningsspørgsmål. Både implementeringsmæssigt, juridisk og administrativt,” sagde han til Journalisten.

Og det bliver ikke lettere af, at EU er på vej med nye cookie-regler, som ingen endnu kender indholdet af: Nye, såkaldte ePrivacy-regler ventes i 2019 – i forlængelse af persondataforordningen.

”Hele reklameindustrien venter med spænding på de nye ePrivacy-regler. De kan få stor indflydelse på den måde, reklameverdenen fungerer på. Det kan blive voldsomt for alle teknologi-virksomheder og reklamevirksomheder,” siger Søren Svendsen og tilføjer:

”Det bliver komplekst, når der er to regelsæt at forholde sig til, og når cookies betragtes som persondata.”

”Cookies er det, der gør det muligt at tracke og følge en person. Og de får også rigtig mange ting til at fungere på nettet,” som han siger det.

Efter to år er mediehuset næsten i mål

JP/Politikens Hus har efterhånden styr på det meste.

”Vi har vores procedurer på plads. Vi har kortlagt vores systemer og har styr på, hvad vi har af persondata. Og når du har de fundamentale ting på plads, så er du nået rigtig langt. Så kan du begynde at opfylde kravene,” fortæller Søren Svendsen.

Det store indledende arbejde var nødvendigt for at nå hertil.

”Hvis der sker et databrud, så skal du inden for 72 timer have kortlagt, hvad der er sket – og konsekvenserne heraf. Det er du først i stand til at gøre, hvis du har dine processer på plads,” siger Søren Svendsen.

Positivt stemt

Samtidig fortæller Søren Svendsen, at han grundlæggende har et positivt syn på forordningen.

”Det her er begyndelsen på, at branchen får større opmærksomhed på værdien af persondata, og hvilke pligter man har i forhold til brugerne,” siger han og understreger:

”I alle virksomheder må man være meget interesserede i at opfylde brugernes behov, for så ved du, at de kommer igen.”