Ta GDPR på alvor og få et konkurransefortrinn!

– Med den nye forordningen ønsker EU å harmonisere og styrke innbyggernes rettigheter i hele området, sier Sverker Axelsson.

Ta GDPR på alvor og få et konkurransefortrinn!

Publisert: 2. Aug 2017 | Kategori: Kompetanse

Den 25. mai 2018 trår EUs nye personvernforordning i kraft. Målet er at den skal bidra til en harmonisert lovgivning innen personvern i hele EU- og EØS-området. Bedrifter som tar forordningen på alvor i dag, vil få et konkurransefortrinn i morgen.

Den nye personvernforordningen, som egentlig heter General Data Protection Regulation (GDPR), tar mer hensyn til digitalisering og den teknologiske utviklingen enn det gamle personverndirektivet gjorde.

Kompetanse - Sverker Axelsson.

Sverker Axelsson.

– Den viktigste grunnen til forordningen er likevel den enkeltes beskyttelse og et sterkere vern med tanke på håndtering av personopplysninger, sier Sverker Axelsson, prosjektleder i Capgemini, som vi tok en prat med før frokostmøtet.

Den enkeltes beskyttelse og et sterkere vern med tanke på håndtering av personopplysninger

– I Norge og Norden har vi lenge hatt en tradisjon på å ha sterke rettigheter rundt personvernet, og en kan si det slik at EU nå kommer etter. Det er store forandringer fra land til land, og med den nye forordningen ønsker EU å harmonisere og styrke innbyggernes rettigheter i hele området.

Skape tillit

Sverker trekker frem noen punkter i GDPR som er ekstra viktige:

  • Dataminimering: Personopplysninger skal være tilstrekkelige, relevante og begrenset
  • Kvalitet: Personopplysninger skal være nøyaktige og holdes oppdatert
  • Begrenset lagringstid: Data skal kun lagres så lenge som det er påkrevet
  • Integritet og konfidensialitet: Tilgang og bruk av persondata skal være begrenset
  • Ansvarlighet: Organisasjonen skal kunne vise at det finnes dokumentasjon for å etterleve forordningen

Alle offentlige og private organisasjoner som behandler opplysninger som kan identifisere enkeltpersoner må forholde seg til den nye forordningen. En viktig driver er å styrke tilliten til digitale tjenester.

Styrke tilliten til digitale tjenester

– Det å kunne vise til at man etterlever forordningen og legger til rette for ivaretakelse av personvern både organisatorisk og teknisk, legger grunnlaget for tillit hos eiere og ledelse – og hos ansatte, kunder, leverandører og samarbeidspartnere. Og nettopp derfor er det så viktig at ikke bare organisasjonene, men også ansatte setter seg inn i forordningen.

Det handler altså om tillit, og brudd på regelverket kan gi store konsekvenser i form av blant annet bøter. Virksomheter som ikke følger retningslinjene i GDPR når de trer i kraft, risikerer å måtte betale opptil fire prosent av den totale omsetningen, eller 20 millioner euro.

– I tillegg har du også omdømmetap, for eksempel gjennom at det blir skrevet negativt om deg i media. De som har ansvaret for personvernforordningen kan ikke fraskrive seg dette ansvaret.

Få bistand til å implementere GDPR

Hvordan den nye personvernforordningen vil påvirke hverdagen vil være forskjellig fra bedrift til bedrift, og fra ansatt til ansatt.

– Man vil for eksempel kunne se endringer i måten man jobber på organisatorisk, og teknisk gjennom endringer i IT-løsninger bedriften baserer informasjonsflyten sin på. Det vil i stor grad handle om å sørge for at man fremover jobber på en måte som håndterer personinformasjon i henhold til det nye regelverket. Det viktigste for alle per i dag er å starte gjennomgangen av hvilke endringer som må til så snart som mulig.

Starte gjennomgangen av hvilke endringer som må til så snart som mulig

Å implementere forordningen i en organisasjon kan være en stor og uoversiktlig jobb. Spesielt hvis man ikke innehar nødvendig kompetanse på huset. Det er her Capgemini kommer inn i bildet.

– Vi tilbyr oss å bistå hele verdikjeden, slik at virksomheter kan etterleve den nye personvernforordningen gjennom de tre ulike fasene og seks trinnene man går gjennom.

Kompetanse -

  • Analysefasen er den første, som inneholder de tre trinnene juridisk-, prosess- og systemanalyse. Det som kommer frem her danner grunnlaget for det som må byttes ut eller endres i organisasjonen for at personvernet skal kunne håndteres bedre.
  • Implementeringsfasen er den andre, og denne består av trinnene planlegging og implementering.
  • Forretningsfasen er den tredje, som har trinnet etterlevelse. Dette er selve forretningspraksisen – altså hvordan man opprettholder implementeringen over tid.

Capgemini kan gi bistand med alt, bortsett fra rent juridiske vurderinger i analysefasen. Capgemini kan videre bistå med rådgivning på prosessen med hensyn til strategier og mål hos virksomheten, men beslutningene tas av ledelsen hos hver enkelt virksomhet. Hele analysefasen kan fasiliteres og prosjektledes av Capgemini.

– Vi kan hjelpe organisasjoner å bli compliant med den nye personvernforordningen, men ansvaret for å bli compliant ligger hos den enkelte organisasjonen.

Kan gi konkurransefortrinn

Sverker mener at bedrifter som tar forordningen på alvor i dag, vil få et konkurransefortrinn i morgen. Det er naturlig at det er fokus på bøter, men fokus bør også rettes mot forretningsmulighetene som ligger i å kunne tilby kunder løsninger som ivaretar personvernet.

– Bedrifter må ha en proaktiv strategi når det gjelder håndtering av personinformasjon. Det ligger store forretningsmuligheter i å kunne tilby kunder og eventuelle sluttkunder løsninger som ivaretar personvernet, samtidig som det gir dem valgmuligheter med tanke på hva personopplysningene kan brukes til. Jeg tror de bedrifter som er tidlig ute med det vi kaller innebygget personvern vil få store konkurransefortrinn fremover.

Bedrifter som er tidlig ute med det vi kaller innebygget personvern vil få store konkurransefortrinn

Dersom bedriften din kan påberope seg at dere opererer i henhold til den nye personvernforordningen, er dette tillitsbyggende både i forhold til kunder, ansatte og samarbeidspartnere.

– Et slikt tillitsforhold kan brukes som et konkurransefortrinn, konkluderer Sverker.

Foredragene på frokostseminaret

Så var frokosten over, og det var duket for møtet. Atle Spilde, Practice Head CSD/DCX/PBS i Capgemini ønsket deltakerne velkommen, og påpekte at GDPR er et satsingsområde. Og med det introduserte han første taler og presentasjon:

“Personvernforordningen og dennes konsekvenser”

Stian D. Kringlebotn er seniorrådgiver i Datatilsynet, og han kunne fortelle at det for tiden er stor interesse for GDPR.

Kompetanse - Stian D. Kringlebotn in action.

Stian D. Kringlebotn in action.

I foredraget sitt tok han tok for seg de viktigste elementene i den nye forordningen. Blant disse er krav i regelverket om innebygd personvern, tydeligere krav til informasjon og samtykke, strengere sanksjoner overfor selskaper og nye rettigheter for borgerne. Virkemidlene er at det blir obligatorisk med personvernombud for mange virksomheter, det blir innført bransjenormer og sertifisering, og i tillegg vil det bli et europeisk samarbeid om forordningen.

Sentralt i forordningen er at “Alle må kunne oppfylle borgernes nye rettigheter”. Dette gjelder:

  • Retten til å bli glemt, altså sletting av data
  • Rett til at personopplysninger begrenses og innsigelsesrett for disse
  • Systemer må oppfylle krav til dataportabilitet, altså at du kan be om å få dine egne opplysninger
  • Strengere regler for automatiserte avgjørelser
  • Henvendelser fra borgere skal håndteres innen én måned

Den nye forordningen fører til at mange virksomheter må opprette personvernombud. Dette gjelder alle offentlig virksomheter, bortsett fra domstoler. I tillegg omfatter det virksomheter som har som kjerneaktivitet å “regelmessig og systematisk monitorere personer” og “behandle sensitive personopplysninger, eller opplysninger om straffbare forhold.

Avvikshåndteringen får strengere regler enn i dag: Avvik må meldes innen 72 timer, og det stilles krav til innholdet i avviksmeldingen – de berørte skal varsles i klart språk.

Kringlebotn avsluttet foredraget sitt med “8 steg til forberedelse”, som alle virksomheter bør sette seg inn i.

  1. Gjør deg selv, ledelse og medarbeidere kjent med den nye personvernlovgivningen
  2. Få oversikt over hvilke personopplysninger dere behandler, rettslig grunnlag på disse og hvem dere deler dem videre med
  3. Behandler dere opplysninger det knyttes særlig stor risiko til?
  4. Hvem er ansvarlig internt for ulike behandlinger? Opererer vi i flere land?
  5. Ikke vent med å opprette personvernombud
  6. Få på plass rutiner for å oppdage, rapportere og reparere avvik
  7. Bygges personvern inn i løsninger som dere utvikler nå?
  8. Legg til rette for de registrertes rettigheter:
  • Gir vi informasjon på et tilpasset, tydelig og enkelt språk?
  • Er rutinene for innhenting av samtykke OK?
  • Hvordan er det med den registrertes rett til innsyn, retting, sletting og sperring?
  • Tenk også på dataportabilitet, reservasjon mot profilering og automatiske beslutninger

“GDPR og diskusjonene som går i markedet”

Advokat Eva Jarbekk i advokatfirmaet Føyen Torkildsen har jobbet med personvern i over 20 år. I tillegg er hun leder av personvernnemnda, som er Datatilsynets klageorgan.

Kompetanse - Eva Jarbekk.

Eva Jarbekk.

I innledningen ble det nevnt at det fremdeles ikke finnes en “bibel” om GDPR. Det er mange artikler på nett, men alle er ikke like gode og flere er heller ikke korrekte. Du må derfor huske å være kritisk når du søker etter informasjon.

Jarbekk fortsatte så med et viktig punkt i forordningen som er nevnt tidligere, nemlig sletting.

– Å slette er å fjerne. Det holder ikke å kaste noe i søpla på Outlook, eller å gjøre ting “vanskelig tilgjengelig”. Om noen kan rekonstruere eller bare noen få har tilgang er det ikke slettet, poengterte hun.

Utgangspunktet nå og i GDPR er at “data kan oppbevares så lenge det er nødvendig ut fra formålet med behandlingen.” Her er det også viktig å få frem at GDPR ikke gjelder for anonyme data. Det er kun identifiserbare personopplysninger som må slettes, og dette gjelder både for eieren og andre som kan få tilgang til opplysningene.

Jarbekk kom også innpå dataportabilitet. I GDPRs artikkel 20 står det: “The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where: (a) the processing is based on consent or contract.” Dette betyr at alle virksomheter som sitter på personopplysninger må legge til rette for dataportabilitet før den nye forordningen trer i kraft.

Jarbekk avsluttet med et viktig moment i GDPR: Der det finnes særlover som regulerer noe, for eksempel hvitvasking, er det denne loven som gjelder – ikke GDPR.

“Putt struktur på lov- og compliance-krav! En praktisk tilnærming til GDPR ved hjelp av Ardoq”

Lars Jørgensen har over 30 års erfaring med bakgrunn som systemutvikler og virksomhetsarkitekt. Han har tidligere blant annet jobbet i DNB, Capgemini og Nets og er i dag er Chief Digital Officer i Retail Payment. Kundene deres er handelen, med de store kjedene COOP og Norgesgruppen som eiere og viktigste kunder. Løsningene er knyttet til betaling og identitet.

Kompetanse - Lars Jørgensen.

Lars Jørgensen.

– Handelen er i endring, fortalte han. Vi har allerede nettshopping og selvbetjente kasseløsninger. Snart kan du gå inn i butikken, hente varer og gå ut uten å betale – alt går automatisk. Hva skjer da med personvernet? Hvilke opplysninger lagres egentlig om deg? Hvem har tilgang til mine data?

Det er disse utfordringene Retail Payment har gjort noe med, blant annet gjennom å bruke Ardoq. GDPR er bare ett av flere lovverk man må forholde seg til. De har derfor laget en løsning for kontroll på alle relevante lover og regelverk, der forskjellige aktører bidrar med hver sin kompetanse.

Typisk vil innsikten være delt mellom informasjonsarkitektene, de som kan regelverket (juristene) og forretningsarkitektene. Ardoq tillater at hver ekspert kan dokumentere sitt område, og at man deretter enkelt kan sette opp mapping mellom for eksempel en paragraf eller et prinsipp og en bestemt entitet. Denne kan igjen være mappet mot en forretningstjeneste eller forretningsprosess. På denne måten samles alle data på ett sted, og gir selskapet full kontroll på helheten. Avanserte analyser som er bygget inn i verktøyet muliggjør impactanalyser, og gjør det enkelt å spore om prosjektene er compliant i henhold til det nye regelverket.

Ardoq luker ut det som er irrelevant og beholder det som er relevant. Viktigst er den evnen man har til kontinuerlig forbedring: Hvis det for eksempel blir endringer i ett bestemt prinsipp, kan man med en gang se hvilke områder som blir berørt og eventuelt hva som må forandres.

Jørgensen nevnte to vanlige, men ikke optimale tilnærminger i et selskap:

  • Hero-based – der enkeltpersoner er eksperter på hvert sitt regelsett. Utfordringen er at det blir vanskelig å dokumentere, og denne måten å jobbe på gjør det vanskelig å få med flere i organisasjonen.
  • Ekstern ekspert – som er basert på konsulentprosjekter. Ulempen er at dette genererer mye arbeid og gir “rapporter” som representerer “sannheten” – der og da, men som ikke enkelt kan forvaltes videre

Kjernen med å bruke Ardoq er at de som kan jus, forretninger og IT kan jobbe sammen i ett velfungerende system.

– Alle kan noe, ingen kan alt, konkluderte Jørgensen.

“Verdien av tillit – Personvernforordningen i et virksomhetsstyringsperspektiv”

Kompetanse - Morten Taksrud under foredraget sitt.

Morten Taksrud under foredraget sitt.

Morten Taksrud er virksomhetsarkitekt i Capgemini, og han har allerede i lang tid jobbet med GDPR i kundeprosjekter. Han delte foredraget sitt i to, der den første delen omhandlet “Verdien av tillit”.

Digitalisering og Internet of Things (IoT) forutsetter mer tillit fordi mer personinformasjon blir samlet og brukt enn noen gang før. Det er derfor viktig at virksomheten håndterer informasjon i samsvar med den nye personvernforordningen.

– Dette handler ikke bare om compliance, men muligheten for ny business hvis du er frempå, fastslo Taksrud.

Han kom så inn på del to – “Compliance med personvernforordningen”. Det første han tok for seg var hvilke elementer i virksomheten som påvirkes av GDPR:

  • Policy og retningslinjer – for eksempel ved innhenting av samtykke, uansett om det er administrative eller frivillige
  • Prosesser med bruk av persondata – for eksempel i forbindelse med markedsføring eller kundeservice
  • IT-arkitektur og systemer – for eksempel CRM-systemer og fakturaer
  • Kontroll og dokumentasjon – på tilgang, innhenting, prosessering og sletting av data
  • Kultur og bevissthet i virksomheten – slik at måten å behandle og bruke persondata på endres.

Det er disse som danner grunnlaget for de tre fasene og seks trinnene i Capgeminis metode for innføring av GDPR, som Sverker også snakket om – her litt mer detaljert:

Kompetanse - Illustrasjon fra Taksruds presentasjon.

Illustrasjon fra Taksruds presentasjon.

Hvordan kan så virksomheten din sørge for å være klar når den nye personvernforordningen trer i kraft? Jo, ved å gjøre dette:

Kompetanse - Illustrasjon fra Taksruds presentasjon.

Illustrasjon fra Taksruds presentasjon.

– Capgemini kan bistå uansett hvilket utgangspunkt virksomheten din har, avsluttet Taksrud.

Og med de ordene ble et svært interessant og lærerikt frokostmøte hevet.

Trenger virksomheten din hjelp med GDPR?

– Til slutt, Sverker – en oppsummering av dagen?

– Det har vært et veldig interessant frokostseminar med relevante og aktuelle foredrag. Det er blitt tydeliggjort at virksomheter i Norge og alle andre land i EU og EØS står overfor viktige utfordringer knyttet til GDPR, blant annet:

  • Hos mange virksomheter er det stor usikkerhet rundt hvordan personopplysninger skal behandles, og hvem som har ansvar
  • Sikkerhet og Privacy by design vil kreve nye metoder, ferdigheter og praksis
  • Implementering av teknologi og løsninger vil kreve reell datahåndtering og datasikkerhetskompetanse
  • Kravet på varsling til tilsynsmyndighetene ved sikkerhetsbrudd uten ugrunnet opphold og senest innen 72 timer, vil kreve overvåkings- og hendelsesstyringsfunksjoner
For ytterligere informasjon ta gjerne kontakt med

Bjørn Tore Sand, Head of Risk and Compliance
bjorn-tore.sand@capgemini.com
+47 406 16 852

Sverker Axelsson, Senior Project Manager
sverker.axelsson@capgemini.com
+47 954 84 841

Capgemini kan tilby de organisatoriske og tekniske tiltakene som trengs for å minimere risikoen for brudd på data og manglende overholdelse. Disse inngår i et bredt databeskyttelsesprogram basert på GDPR-artikler.

– Vi kan hjelpe virksomheter med å beskytte kundedata og andre dataverdier som involverer alle interessenter. Vi tilbyr en ende til ende-portefølje som støttes av utprøvde verktøy og metoder som gir operasjonelle resultater, som blant annet automatisering og konsolidering. Dette gjør GDPR-overholdelse enklere, sier Sverker før han avslutter:

– Mai 2018 nærmer seg, og for å komme i gang kan et første skritt vare å gjennomføre en heldags workshop sammen med oss. Da vil du raskt få opp et første bilde av behovet og nødvendige tiltak videre.