Öresundskraft: Bliv klar til GDPR med seks tiltag

Product manager Annika Runert fra Öresundskraft AB præsenterer seks tiltag, der kan hjælpe energiselskaber med at blive klar til GDPR.

GDPR - sådan påvirkes energiselskaberne

GDPR er en af årets største udfordringer for de svenske energiselskaber, der skal have styr på persondata. Foto: Colourbox.

GDPR: Energiselskaber i Sverige håndterer lige som de danske selskaber store mængder information og opnår dermed en stor indsigt i forbrugernes hverdag. Derfor er det vigtigt at værne om den personlige integritet og sikre, at data håndteres korrekt, hvilket bliver sat på spidsen, når GDPR træder i kraft i 2018.

- Som energiselskab arbejder vi i en betroet branche og bidrager til samfundets ve og vel. Derfor er kundernes tillid utroligt vigtig. For at drage nytte af deres data, er vi nødt til at være transparente og fortælle, hvorfor det er til kundernes fordel, siger Annika Runert, der er product manager hos det svenske energiselskab, Öresundskraft AB.

GDPR medfører en række nye krav, men også mange muligheder. Det nye regelsæt kan hjælpe virksomheden med at forbedre arbejdsgange, fjerne unødvendige manuelle omdrejningspunkter i form af e-post og lister, få styr på informationsflowet, men frem for alt: øge datakvaliteten. Selv når det kommer til it-systemer og backup, vil forsyningsselskaberne kunne opnå fordele.

Store udfordringer når GDPR implementeres
Mange forsyningsselskaber har et kompliceret systemlandskab med mange mindre systemer. Det er også almindeligt i Sverige, at man anvender Excel som procesunderstøttelse. Filerne kan derfor være spredt på forskellige filservere og sendes ofte rundt via mail. Det er også almindeligt, at man mangler et issues management-system, hvilket kan være meget tidskrævende.

-  Uden systemunderstøttelse er det let at komme til at dele personfølsomme oplysninger via e-mail, og at issues sendes videre til underleverandører uden sporbarhed. Det indebærer også en risiko for at data sendes ukrypteret.

At kortlægge håndteringen af data kan være tidskrævende, og det kan blive lidt som at åbne Pandoras æske. Men det er vigtigt at skaffe sig et overblik over virksomhedens dataflow, siger Annika Runert.

Sideløbende med GDPR-processen gennemfører mange energivirksomheder en omfattende digitalisering.

Når man samtidig skal håndtere EU's nye persondataforordning, GDPR, er der en risiko for, at opgaven bliver overvældende.

- Energiselskaberne bør definere, hvad man betragter som personfølsomme data i virksomheden, så alle har det samme udgangspunkt. Både direkte og indirekte data kan knyttes til en person. Her tror jeg mange får en udfordring, eftersom grænserne ikke er helt tydelige.

Den digitale udvikling betyder desuden, at det bliver langt sværere at definere, hvad en personoplysning egentlig er. Smart-metere kan fx give en indsigt i den enkelte borgers liv, så som om der er nogen hjemme eller ej, forklarer Annika Runert.

- Et andet vigtigt aspekt ved GDPR handler om dokumentere, hvordan man har resoneret i forskellige situationer i forbindelse med fx interessevaretagelse eller af juridiske årsager. Det bliver vigtigt at kunne vise, at man har forsøgt at gøre det rigtige, tilføjer Annika Runert.

Tre almindelige faldgruber 

  • Undgå at se på GDPR som et it-projekt. For det er virksomheden, som skal drive med arbejdet og stille krav til it, hvad angår systemunderstøttelse for at kunne leve op til GDPR. Husk, at det er virksomheden, der behandler personlige data og bestemmer mål og formålet.
  • Mange virksomheder, som allerede lever op til den eksisterende lovgivning, har en tendens til at undervurdere omfanget af de nye og skærpede krav i GDPR. I Sverige forsvinder fx den særlige misbrugsregel, hvilket betyder, at selv ustrukturerede data bliver omfattet af de nye krav.
  • It-afdelingen skal skaffe sig viden om, hvilke sikkerhedsniveauer, man skal overholde for at leve op til GDPR. Den skal også initiere en dialog med leverandørerne for at vide, hvor de er med deres egne GDPR- forberedelser.

 

Seks tiltag, som hjælper dig med at blive klar til GDPR

 1. Udpeg en databeskyttelsesansvarlig , og styrk den interne viden
Det første skridt er at udpege en databeskyttelsesansvarlig , DPO, med de rigtige færdigheder. Derudover bør man undervise alle virksomhedens medarbejdere for at øge deres viden om emnet. Sørg for særlig undervisning af de medarbejdergrupper, der har hyppig kontakt med medarbejdere og kunder. Disse medarbejdere findes typisk i kundeservice, HR og salg.

2. Få defineret, hvad persondata er for jer
Skab de rette forudsætninger for, at medarbejderne ved, hvordan de skal forholde sig i forbindelse med kortlægning af persondata i virksomheden.

Det er vigtigt at afgøre, præcist hvordan din virksomhed definerer en personfølsom oplysning. Sørg for at indhente eller opdatere politikker og retningslinjer for fx datavask. Det er nødvendigt i arbejdet med kortlægning og registrering.

3. Kortlæg virksomhedens dataflow og arbejdsgange
Lav en oversigt over datastrømme og processer i forbindelse med håndtering af persondata. Dernæst er det vigtigt at beslutte, hvilke registre, der skal oprettes, eller om de eksisterende skal justeres. Man bør også gennemgå kommunikationskanaler til kunder og medarbejdere for at koordinere informations- og samtykketekster. Det er vigtigt at bruge ensartede tekster på alle kanaler.

 4. Kortlæg sikkerhedsbrister
Kontroller, om registrene opfylder de nye krav. Hvor er fejlene? I den proces vil man opdage, hvilke tiltag man er nødt til at sætte iværk. Sørg også for, at personlige informationsassistenter får de rette instruktioner.

Annika Runert mener ikke, at der vil være "one size fits all" for denne type aftaler; der kan være en grundlæggende skabelon, men vejledningen vil afvige.

 Bemærk også, at hvis data indsamles fra en tredjepartsleverandør, er det den dataansvarliges ansvar at sikre, at de indsamles efter aftale med GDPR. Du skal derfor have en aftale om disse aktiviteter. 

5. Arbejd med datavask og sletning
GDPR stiller øgede krav til datakvalitet, og at data ikke opbevares længere end nødvendigt. Sørg derfor, at data, som ikke længere anvendes, bliver slettet. Det kan være en omfattende opgave for de fleste energiselskaber.
Annika Runert mener derfor, at man skal betragte GDPR som en mulighed for at forbedre datakvaliteten i sine systemer og for at reducere server-behovet.

6. Glem ikke sikkerheden!
Kortlæg sikkerhedsniveauerne i alle systemer, der indeholder persondata. I den sammenhæng kan arbejdet med ISO27001 være en stor hjælp. Sørg for at udvikle en arbejdsgang og struktur, der sikrer, at man kan identificere, eskalere, vurdere og rapportere sikkerhedshændelser. Da det skal ske inden for 72 timer efter opdagelsen, skal planen understøtte hurtig reaktion. 

GDPR kræver et langsigtet fokus
Der skal ikke herske nogen tvivl om, at GDPR-arbejdet kræver en ordentlig forberedelse, og det kan være svært at blive klar med alle dele inden maj 2018.

 Annika Runert understreger dog også betydningen af det løbende  arbejde, der skal gøres, selv efter den nye lovgivning træder i kraft. Derfor  er det vigtigt, at virksomheden også har en plan for fremtiden.

- På lang sigt kræver ledelsen af GDPR en struktur i virksomheden med dedikerede roller og en systematisk tilgang. Organisationen har brug for at få GDPR helt ind i rygmarven, når det gælder udvikling af produkter, tjenester og processer. Derudover skal arbejdet udføres med fokus på omverdenen for at sikre, at arbejdet tilpasse i takt med, at der kommer nye vejledninger, retningslinjer og retspraksis, konkluderer Annika Runert. 

3 tips fra GDPR-eksperten

  • Dokumenter, dokumenter, dokumenter. Sørg for at dokumentere, jeres overvejelser om håndtering af persondata, interessevaretagelse, politikudvikling og retningslinjer samt samtykke- og informationstekster.
  • Engager medarbejderne i GDPR-arbejdet. Uddan medarbejderne, så de får viden, der kan hjælpe dem med at overskue håndteringen af persondata i hverdagen.
  • Ene er ikke lig med stærk. Tag kontakt med andre i branchen og find samarbejdspartnere. Tag gerne imod hjælp fra fx forbrugerorganisationer og den svenske energidatabase. Hvis aktiviteterne er kommunale, er der stor chance for også at kunne etablere interne partnerskaber.

Hold dig opdateret ...

Tilmeld dig vores nyhedsbrev

Få værdiskabende artikler, værktøjer og inspiration til, hvordan du forankrer den digitale transformation i din virksomhed – direkte i din indbakke.