Nacka Energi: Slik forbereder vi oss på GDPR

Fem kraftfulle tips til GDPR-arbeidet

Nacka Energi

GDPR er like om hjørnet. Les hvordan svenske Nacka Energi arbeider med EUs nye personvernforordning – og få fem råd.

 

– Den enkeltes rett til privatliv burde være en selvfølge, men den tekniske utviklingen har gått raskt og jeg opplever at det har gått utover beskyttelsen av den enkeltes integritet, sier Sanna Askelöf. 

Hun er prosjektleder for å klargjøre Nacka Energi for GDPR. I månedsvis har hun jobbet med å gjøre den den svenske energileverandøren klar for EUs nye personvernforordning, GDPR.

– Derfor er det positivt at GDPR stiller spørsmål rundt personvern og tvinger selskapene til å handle, synes GDPR-eksperten.

Her deler hun sine erfaringer far arbeidet med å gjøre kraftselskapet GDPR-klart.

 

GDPR-arbeid gir fordeler

Askelöf mener at GDPR kan gi bedriften en rekke organisatoriske fordeler, for eksempel gi bedre kontroll over ledelsesinformasjon, og er en mulighet for å få frem utfordringer knyttet til datasikkerhet.

– GDPR og datasikkerhet går hånd i hånd og forordningen kan bidra til at man får etablert forebyggende sikkerhetssystemer i en tid hvor vi opplever stadig flere hackerangrep.

Askelöf mener den nye forordningen tvinger virksomheter til å lage felles rutiner og retningslinjer samt standardiserte arbeidsrutiner, fordi det ”må være enkelt å gjøre det rette”.

– Jeg tror også at godt personvern kan bli et konkurransefortrinn, og at det vil komme forskjellige former for sertifiseringer på området, mener Askelöf.

Hun trekker frem fem punkter som er viktige når man starter arbeidet for å gjøre bedriften GDPR-klar:

 

1. Hvilke faktorer påvirker din bransje?

– Energibransjen er enorm, og mengden av data vokser eksplosivt i vår bransje, på samme måte som i mange andre bransjer. Samtidig er det utfordrende å håndtere de store datamengdene. Jo mer data vi samler inn, jo mer informasjon blir vi også ansvarlig for!

– Det øker behovet for god datasikkerhet og systematisk kvalitetsarbeid, så vi er sikker på at vi beskytter den personlige integritet, råder Askelöf.

 

2. Hvor starter man?

– Nacka Energi starte GDPR-forberedelsene for cirka et år siden.  Vi begynte med en situasjonsanalyse for å få kartlagt hvordan vi lever opp til GDPR i dag.

– Siden har vi arbeidet med at øke den interne kunnskapen rundt databeskyttelse og gjennomgått bedriftens håndtering av persondata i praksis. Blant annet skal alle medarbeidere ta grunnkurs i persondatalovgivningen, forteller prosjektlederen.

Askelöf sier at Nacka Energi er i ferd med å avslutte analysefasen, og sier at kraftselskapet er i starten av neste fase, som består av å gå gjennom juridiske analyser og bestemme seg for konkrete tiltak.

– Vi har fått utarbeidet en oversikt som beskriver vår håndtering av persondata. Den ligger til grunn for analysen og handlingsplanen som vi skal arbeide med utover høsten.

– Til våren håper vi at vi kan implementere nye arbeidsmåter og prosedyrer, som vi løpende kan overlate til driftsorganisasjonen, sier Askelöf.

 

3. Hvordan skal man prioritere innsatsen?

– Det er viktig å starte med et godt forarbeid der man identifiserer hvor det skorter på datasikkerhet. Dermed kan man i etterkant prioritere innsatsen ut fra hva som er mest påtrengende. 

– Man bør også finne riktig nivå, i forhold til kostnad og ressursbruk, for tilpasningen til den nye personvernforordningen. Man skal huske på at hvis man i forveien har tatt persondatasikkerhet på alvor og overholdt gjeldende regler, så er man allerede et godt stykke på vei, understreker prosjektlederen.

 

4. Hvilke roller skal involveres og når?

Det er dyrt og ressurskrevende å håndtere GDPR. Derfor er det viktig, at spørsmålet om personvern riktig forankret i ledelsen. Ifølge Askelöf berører arbeidet med persondatasikkerhet alle roller i bedriften.

– Alle har bruk for informasjon og kunnskap. Uten medarbeiderne kommer man jo ingen steder. Hver eneste ansatte er dessuten viktig i analysearbeidet, idet informasjonen om bedriften nettopp finnes ute i bedriften.

– En del områder av virksomheten skal involveres mer enn andre, for eksempel IT-avdelingen, kundeservice og HR/personalavdelingen. Men også ledere, mellomledere og medarbeidere innen sikkerhet skal involveres. Dessuten trenger man en dialog med leverandører og deres personvernansvarlige. Og i forbindelse med selve analysearbeidet er det behov for juridisk ekspertise, noe mange bedrifter skal hente utenfra, sier Askelöf.

 

5. Hvilke opplagte risikoer finnes?

Lever man ikke opp til forordningen, kan det få store økonomiske konsekvenser, uansett bedriftens størrelse, budsjett og antall ansatte. Askelöf trekker imidlertid frem andre utfordringer enn de juridiske.

– Bedrifter, som ikke tar arbeidet med beskyttelse av persondata alvorlig, risikerer å miste både kunder og ansatte. Hvis folk opplever, at deres rettigheter ikke respekteres, fører det med stor sannsynlighet til negativ omtale og rekrutteringsproblemer. Som bedrift risikerer man sitt gode navn og rykte.

– For å minimere disse risikoene tror jeg først og fremst på at man kontinuerlig oppdaterer sin og selskapets kompetanse rundt GDPR, å ha tydelige retningslinjer og kvalitetssikrede prosedyrer.

– Vi har dessuten bruk for å få på plass en felles styring av innsatsen for at opprettholde det løpende kvalitets- og informasjonssikkerhetsarbeidet. Til slutt skal vi ha en god dialog med hverandre både internt og eksternt. Vi skal bli GDPR-klargjort, ikke bare fordi vi må, men fordi vi har et ansvar for persondatasikkerhet og fordi vi selv synes at det er viktig.

 

 

Unngå GDPR-panikk

  • Se hvordan andre bedrifter håndterer datasikkerheten både innenfor og utenfor din egen bransje.
  • Bevar roen og let etter hvilke feil og mangler du har i eget selskap.
  • Løs et problem om gangen – ellers blir det lett å drukne i oppgaver.
  • Vær nøye når du velger samarbeidspartner – det er mange eksperter der ute.
  • Og ikke minst: Gå i gang – begynn der du er. 
Annonse

GDPR - General data protection regulation

* EUs nye personvernforordning, som gjelder fra 25. mai 2018 og gjelder alle EU- og EØS-land. 

* Viderefører gammel forordning fra 1995, men med en rekke innstramminger knyttet til økte dokumentasjonskrav, innebygget personvern (data protection by design and by default), dataportabilitet, sletting samt varsling ved sikkerhetsbrudd.

* Målet er å sikre borgeres, sluttkunders og brukernes data, blant annet for å forebygge cyberkriminalitet og for å regulere virksomhetenes kommersielle utnyttelse av persondata.

* Overtredelse kan gi gebyrer på opptil 20 millioner euro eller 4 prosent av global omsetning, avhengig av hva som er høyest.

* Vedtatt i EU-parlamentet 14. april 2016.

Annonse