2019-02-27

Personvernombudet: – GDPR gjør oss mer effektive

Fra 2017 til 2018 økte antall innmeldte hendelsesavvik fra 349 til 1275 i Norge, 820 av disse kom etter 20. juli, da GDPR trådde i kraft. Et halvt år er gått. Hva nå?

Tine Venås Kjeldsen Rådgiver kommunikasjon og samfunnsansvar

I en stadig mer trådløs verden med mobilbetaling, sosiale medier, digitale medlemskort, streaming og app-rabatter, har terskelen for å dele våre vaner blitt svært lav. Mange virksomheter har tilgang til mye data. Som forbruker – og det er vi jo alle, har det vært vanskelig å få oversikt over hvem som egentlig vet hva om deg.

Usikkerheten innførte EU i 2018 personvernforordningen GDPR, et direktiv som angår alle virksomheter som jobber i eller med EU/EØS-land. Kanskje mest kjent direktivet er at brudd kan resultere i betydelige bøter. Offentlige virksomheter og virksomheter som håndterer sensitive data eller personverndata er pålagt å ha en personvernombud (Data Protection Officer, DPO) som skal sikre at regelverket blir overholdt i virksomheten.

Personvernombudet skal blant annet:
  • samle inn informasjon for å identifisere behandlingsaktiviteter
  • analysere og sjekke at behandlingsaktivitetene er i tråd med regelverket
  • informere, gi råd og anbefalinger for å sikre regelverketterlevelse
  • foreslå ansvarsfordeling for oppgaver knyttet til ivaretakelse av personvernet i virksomheten
  • gjennomføre holdningsskapende arbeid i virksomheten og opplæring av medarbeidere

Ateas ombudsmann

Jonas Dahl Spiris er personvernombud i Atea. Vi tok en rask kaffe om prosessen frem til i dag.  

Hva er dine viktigste erfaringer så langt?

– Å ha gode prosesser og rutiner for å beskytte personopplysninger gir merverdi som er viktig å få frem. Vi ser at dette har forenklet flere prosesser også internt, det har gjort oss mer effektive og effektivitet setter selvfølgelig også ledelsen pris på.

Å snu om prosesser er krevende. Vil du fortelle om veien?

– Jeg jobber som personvernombud i Atea Norge nå, men allerede ett år før GDPR tredde i kraft hadde vi et prosjekt for hele Atea der vi kartla og analyserte alle systemer som inneholder personopplysninger for å gjøre dem klare for GDPR.

Hva innebar dette?

– Vi iverksatte nye, felles dataprosesser, for eksempel justerte vi behandlingprosessene for personopplysninger for tjenester, IT, salg, markedsføring og HR. Vi evaluerte også tjenester som behandler kundenes personopplysninger for å kunne iverksette nødvendige databehandleravtaler. Dette gjorde vi også for leverandører og underleverandører.

Det er en omfattende kartleggelse. Fulgte dere en spesiell oppskrift?

– Parallelt med implementeringen av GDPR har Atea evaluert alle datasenter, kontorer og infrastrukturer basert på ISO 27001, for å sikre best mulig sikkerhet for personopplysninger. Dette stiller store sikkerhetskrav. Vi jobber aktivt med å beskytte kunders data. GDPR-bevissthetstrening er et tilbud til alle medarbeidere i Atea.

Brudd, risikofaktor, hendelseshåndtering... Det er mange områder å jobbe med. Hvordan ser egentlig hverdagen din ut?

– Nå jobber vi som et virtuelt team med personvernombud fra hele Atea-konsernet. Der samarbeider vi for å etterse at vi oppfyller kravene til GDPR. Dersom vi har et brudd har vi gode prosesser for å håndtere dette. Gruppen har medlemmer med ulik yrkesbakgrunn og vi har stort utbytte av hverandres kunnskap.

Hva er det viktigste egenskapen for å lykkes i rollen du har?

– Som personvernombud er det viktig å ha integritet, være løsningsorientert og pragmatisk. I arbeidet møter du mange ulike mennesker i ulike roller og med ulike interesser. Det gjelder å skape gode samarbeidsformer.

Det er jo ofte du som gir beskjed til blant annet markedsavdelingen at vi må være varsomme når vi sender ut nyhetsbrev. Har du merket at medarbeidere skygger banen når du kommer?

– Ha ha, nei absolutt ikke! Mange opplever at de er mer relevante ovenfor kundene de ønsker nå. Alle vil jo gjøre jobben sin riktig. Som arbeidsgiver får du dessuten også økt tillit hos dine medarbeidere.

GDPR i Europa:
  • Datatilsynet mottok 171 avviksmeldinger i september 2018.
  • Justert for folketall er Norge (32 avviksmeldinger per millioner innbyggere) og Sverige (31) omtrent på samme nyvå, mens det i Danmark (86) er levert langt flere.
  • Tallene fra andre europeiske land spriker veldig, fra Irland (93), Frankrike (3), Romania (2) og Italia (1).