Nacka Energi: Sådan forbereder vi os på GDPR

Dataansvarlige i hele Europa har lige nu travlt med at forberede deres virksomheder på, at EUs nye persondataforordning, GDPR, træder i kraft i 2018. Læs hvordan Sanna Askelöf, Nacka Energi, arbejder med opgaven i den svenske energivirksomhed.

Nacka Energi

GPDR: Som ansvarlig projektleder for GDPR hos Nacka Energi, har Sanna Askelöf arbejdet med at gøre den svanske energivirksomhed klar til at overholde den nye lovgivning i månedsvis: 

- Den enkeltes ret til et privatliv burde være en selvfølge. Men den tekniske udvikling er gået hurtigt, og jeg oplever, at det  er gået ud over beskyttelsen af den enkeltes integritet. Jeg finder det derfor positivt, at GDPR nu er med til at rejse spørgsmålet og presser virksomhederne til at handle, forklarer Sanna Askelöf, der også mener, at GDPR kan give virksomheden en række organisatoriske fordele, fx bedre kontrol med ledelsesinformationen og en mulighed for at løfte en række datasikkerheds-udfordringer.

- GDPR og datasikkerheden går hånd i hånd og måske kan forordningen bidrage til at man får etableret forebyggende sikkerhedssystem i en tid, hvor vi oplever stadig flere hacker-angreb,

Med den nye lovgivning tvinges vi til at få skabt fælles rutiner og retningslinier samt mere standardiserede arbejdsrutiner. For det er nødt til at være let at gøre det rigtige. Jeg tror også, at det kan blive et konkurrenceparameter i fremtiden, og at der vil begynde at opstå forskellige former for certificeringer på området inden længe, mener Sanna Askelöf.

1. Hvad er det for faktorer, der påvirker jeres branchen?
- Forsyningsbranchen er enorm, men man kan pege på, at mængden af data øges eksplosivt i vores branche, præcis som i andre brancher, i takt med at vi bliver mere og mere online. Samtidig ligger der en stor udfordring i at håndtere de store mængder data. Jo flere data, vi indsamler, jo mere information  bliver vi jo også ansvarlig for!

Det øger behovet for god datasikkerhed og et systematisk kvalitetsarbejde, så vi kan beskytte den personlige integritet, siger projektleder Sanna Askelöf, Nacka Energi.

2. Hvor tager man fat?
-Nacka Energi satte gang i forberedelserne for ca. et år siden.  Vi startede med at gennemføre en situationsanalyse for at se, hvordan vi i dag lever op til lovgivningen.

Siden har vi arbejdet meget med at øge den interne viden om databeskyttelse og gennemgået virksomhedens håndtering af persondata i praksis. En fælles forudsætning for arbejdet har været, at alle medarbejdere skulle tage et grundkursus i personadatalovgivningen, siger Sanna Askelöf.

-Vi er nu ved at afslutte analysefasen, som har stået på i længere tid, og befínder os nu i starten af næste fase, der består af juridiske analyser og konkrete tiltag.

Vi har fået udarbejdet en oversigt, som beskriver vores håndtering af persondata, som ligger til grund for analysen og den handlingsplan, som vi skal arbejde med i efteråret.

Til foråret håber vi så på, at vi kan implementere nye arbejdsgange og procedurer, som vi løbende kan overdrage til driftsorganisationen, siger Sanna Askelöf.

3. Hvordan skal man prioritere indsatserne?
- GDPR stiller krav til mange dele af virksomheden, og det kan være svært at se, hvor man skal ende og begynde.  Jeg tror derfor på værdien af et godt forarbejde, hvor man identificerer mangler i sikkerheden, så man efterfølgende kan prioritere indsatserne ud fra, hvad der er mest påtrængende.  

Både tid og penge flyver jo let, så det betaler sig naturligvis bedst, hvis det lykkes at foretage de rigtige prioriteringer af indsatserne fra begyndelsen. Men jeg tror også, det er vigtigt at kunne ændre kurs, hvis det bliver nødvendigt at skifte fokus undervejs, siger Sanna Askelöf.

-Der ligger også en opgave i at finde et rimeligt niveau for tilpasningen til de nye regler. Men man skal huske på, at hvis man i forvejen har været opmærksom på persondatasikkerhed og overholdt de gældende regler, så er man allerede et godt stykke ad vejen, siger understreger Sanna Askelöf.

4. Hvilke roller skal involveres og hvornår?
GDPR er dyrt og ressourcekrævende at håndtere. Derfor er det vigtigt, at spørgsmålet om persondatasikkerhed er rigtig forankret i ledelsen. For ifølge Sanna Askelöf berører arbejdet med persondatasikkerhed alle roller i virksomheden.

- Alle har brug for information og uddannelse. Uden medarbejderne kommer man jo ingen steder. Hver eneste ansatte er desuden meget vigtig i analysearbejdet, idet informationenerne om virksomheden jo netop findes ude i virksomheden, siger Sanna Askelöf.

-En del områder af virsomheden skal involveres mere end andre, fx IT, kundeservice og HR. Men også medarbejdere som arbejder med ledelse og sikkerhed skal involveres. Desuden er der brug for en dialog med leverandører og de persondataansvarlige, lige som der i forbindelse med selve analysearbejdet også er behov  for juridisk ekspertise, som nogle virksomheder måske skal hente udefra, siger Sanna Askelöf.

5. Hvad er de oplagte risici?
Hvis man ikke lever op til lovgivningen, kan det hurtigt få store økonomiske konsekvenser, uanset virksomhedens størrelse, budget og antal medarbejdere. Men Sanna Askelöf mener, at der findes andre udfordringer end de juridiske.

- Virksomheder, som ikke tager arbejdet med persondatabeskyttelse alvorligt, risikerer at miste både kunder og ansatte.

Hvis folk oplever, at deres rettigheder ikke respekteres, fører det med stor sandsynlighed til negativ omtale og rekrutteringsproblemer. Som virksomhed risikerer man desværre nok sit gode navn og rygte.

-For at minimere disse risici tror jeg først og fremmest på  løbende uddannelse, tydlige retningslinier og kvalitetssikrede procedurer.

Vi har desuden brug for at få etableret en fælles styring af indsatsen for at opretholde det løbende kvalitets- og informationssikkerhedsarbejde. Og endelig skal vi have en god dialog med hinanden, både internt og eksternt. Vi skal gøre det her, bare fordi vi skal, men fordi vi har et ansvar og fordi vi selv synes, det er vigtigt.

 

Så undgår  du GDPR-panik: 

  • Se på, hvordan andre virksomheder håndterer datasikkerheden, både i og uden for din egen branche.
  • Bevar roen og se indad – hvilke fejl og mangler har vi i vores virksomhed?
  • Løs en sag ad gangen – ellers er det let at drukne i opgaver.
  • Vær omhyggelig, når du vælger samarbejdspartner – der findes mange eksperter  
  • Og ikke mindst: Kom nu igang, og begynd hvor du er! 

Tilmeld dig nyhedsbrev

Få værdiskabende artikler, værktøjer og inspiration - direkte i din indbakke.