Det er under et halvt år til 25. mai 2018, da den nye felles europeiske personvernforordningen trer i kraft. Dermed er det gått mer enn 75 prosent av tiden du har hatt til å implementere den i din bedrift. Har du heller ikke nådd 75 prosent i mål? Da leser du med her og lar oss starte et skjebnefellesskap, der vi gjennom våre konkrete erfaringer forhåpentligvis kan gjøre hverandre klokere.
Hva vil den nye personvernforordningen bety for din bedrift?
Har du også lest stolpe opp og stolpe ned med fagfolk som gir gode råd om den nye europeiske personvernforordningen, som erstatter den danske personvernloven fra 25. mai 2018? I så fall må du lese videre. Eller mer usannsynlig; Er det her første gang du støter på den nye personvernforordningen? I så fall må du i aller høyeste grad lese videre. Kort sagt; Du må lese videre.
Vi prøver nemlig å snu opp ned på det hele og i stedet ta utgangspunkt i hvordan Intempus som bedrift er i ferd med å gjøre seg klar til personvernforordningen, og hva vi forventer at vi kommer til å bruke på dette av ressurser. Og la oss bare tydeliggjøre fra start; Vi er på et tidlig stadium, så noen detaljert best practice-fasitliste for implementering av personvernforordningen finner du ikke her. Men kanskje har din bedrift større eller mindre fellestrekk med Intempus. Kanskje kan du finne trøst i å vite at det finnes andre som har like mye arbeid foran seg som deg. Men hvis du ligesom 26 prosent av de mellomstore danske bedriftene stadig går rundt og snakker om “persondataloven”, og det her er første gang du hører om persondataforordningen, kan vi ikke trøste deg – så skal du bare se å komme i gang!
Vi vil lage mange flere blogginnlegg når vi kommer lenger inn i arbeidet med å implementere loven i Intempus’ systemer, men vi starter altså mykt ut. Så hva har vi gjort så langt?
Først og fremmest har vi raskt konkludert at Intempus i aller høyeste grad rammes av personvernforordningen. Den angår jo alle firmaer som arbeider med personopplysninger. Og det er vel naivt å forestille seg at det ikke skulle være tilfelle for en bedrift som selger programvare til timeregistrering og håndterer disse dataene for brukerne.
Men det er faktisk de færreste ting, der ikke kan henføres til en person. Tag bare et eksempel fra sidste uge med en kunde. Vi snakkede om kørselsregistrering, og da vi også kom omkring GDPR – som er den engelske forkortelse for persondataforordningen – faldt kunden i den klassiske fælde med at tro, at GDPR mest drejer sig om personfølsomme oplysninger som f.eks. CPR-nummeret. Men nej, tænk eksempelvis på, hvis man fik fat i en persons kørselsregistreringer. Rute og tidspunkt. Det vil i domstolenes øjne være muligt på baggrund af oplysningerne at sætte sig ud i vejkanten og identificere personen – ikke mindst, hvis oplysningerne er suppleret af nummerpladen, som det typisk vil være tilfældet i Intempus.
Det er altså vesentlig lettere å snakke om hvilke data som ikke er personidentifiserbare enn hvilke som er det. Og på stående fot kan vi ikke egentlig komme på at vi håndterer noen av førstnevnte. I alle fall ikke når de står i sammenheng med andre. Dertil kommer alle samarbeidspartnerne, som systemet vårt integrerer seg mot, og som vi dermed leverer data videre til, samt alle dem vi håndterer data for. Konklusjon: Vi har masse arbeid foran oss med dels å optimalisere våre egne systemer og arbeidsganger for GDPR, og dels å få laget vanntette kontrakter med alle dem vi på en eller annen måte samarbeider med.
Branjeforeningen IT-bransjen har for øvrig en standardkontrakt, som man kan tilpasse og gjøre til sin egen (krever medlemskap). På den måten kan man slippe unna å få en advokat til å gjøre det for den slags timelønninger de tar. Eller enda verre; selv lage en kontrakt på måfå. Den løsningen kan knapt anbefales hvis man ikke har kompetansene til det. Et annet godt råd er for øvrig helt å unngå personfølsomme opplysninger som fødselsnummer, seksuell og politisk orientering, fagforening og så videre hvis du kan. De er uhyre besværlige å behandle og samtidig leve opp til GDPR. Det gjelder selvsagt kun de dataene du er databehandler for. På ansettelseskontrakter og lignende er det umulig å ikke ha personfølsomme opplysninger. Er du i tvil om forskjellen på databehandlere og dataansvarlige? Da kan du folde ut boksen herunder og bli klokere.
Databehandler eller dataansvarlig?
I stedet for å sjonglere med en masse faguttrykk, mener vi at det kan uttrykkes mer presist og pedagogisk; Er den omtalte dataen din, eller bare data du behandler for en annen? I første tilfelle er man dataansvarlig – i andre tilfelle er man databehandler.
Intempus leverer programvare for innrapportering av arbeidsrelaterte data. Og bak programvaren har vi selvsagt databaser som lagrer disse dataene. Men det er ikke data vi eier eller er spesielt interesserte i. Det er våre kunders data, og derfor er vi databehandlere.
I tillegg har alle bedrifter selvsagt mye HR-data som ansettelseskontrakter, lønnsinformasjon, kundeinformasjon og så videre. Disse er man dataansvarlig for, og her er kravene strengere, men det gjelder for alle. Hvis du kan unngå å lagre fødselsnummer og annen personfølsom informasjon, bør du gjøre det – de er nemlig brysomme å håndtere!
Hva har vi konkret gjort i Intempus?
Vi hørte første gang om den nye personvernforordningen tilfeldigvis på et kundemøte tilbake i våres. Reaksjonen var nok ganske forutsigbart som hos de fleste; å avfeie det litt og undervurdere det – sannsynligvis fordi det virket for uoversiktlig. Det krevde imidlertid ikke mye research å konstatere at dette er noe vi ikke kommer lett unna, så fokuset har ligget på å samle mye kunnskap, slik at vi har de beste forutsetningene for å ta de riktige skrittene fra starten av.
Helt lavpraktisk har én person fått i oppgave å holde seg fullstendig oppdatert på GDPR. Og en enkel måte å spare tid på den oppgaven er å sette opp en Hootsuite– eller TweetDeck-konto og lage en danskspråklig overvåking av ordene ‘GDPR’ og ‘personverndirektivet’. GDPR diskuteres en del på Twitter, så teorien vår er at hvis det lages innhold om emnet, finnes det på Twitter, som er et svært oversiktlig medium å overvåke.
I tillegg har vi deltatt på noen arrangementer der kompetente personer har holdt foredrag om personvernforordningen og naturligvis implementeringen av denne i bedriftene. Fordelen med disse er at man kan få svar på spesifikke spørsmål, snakke med likesinnede og få verdifulle innspill til å vurdere hvor fort man må løpe i sin egen bedrift. Og så er de ikke minst svært ofte gratis.
Forrige uke kom vi også i gang med det som må være første skritt for alle typer virksomheter når man har kommet forbi det innledende kunnskapsinnhentingen – nemlig å kartlegge de ulike datasett og få dem segmentert i ufarlige, personidentifiserbare og personfølsomme. Vi har helt praktisk laget et dokument der vi har delt dataene inn i de vi er dataansvarlige for (HR-data og lededata primært), og de vi er databehandlere for (app-data primært).
Det var det. Lenger har vi faktisk ikke kommet. Men det skal vi naturligvis, og det skal skje snart – i hvert fall på denne siden av jul.
Hva er neste steg?
Det har vi ikke full oversikt over. Men vi forventer at neste steg blir å analysere hvordan de ulike dataene for øyeblikket blir behandlet, og hva som mangler for å oppfylle de nye kravene. Derfra skal arbeidet med å optimalisere virksomhetens digitale og analoge infrastruktur samt inngå databehandleravtaler naturligvis påbegynnes.
Dette skal være planen i grove trekk. Har vi noe oversikt over hvor mange ressurser det kommer til å kreve? På ingen måte. Blir vi negativt overrasket over det? Høyst sannsynlig. Derfor desto mer grunn til å komme i gang allerede nå, for det er ingen vei utenom. Eller jo, det er det, hvis man vil løpe risikoen for å dele ut en masse menneskers personlige data, få virksomhet-utslettende store bøter og bli et sort får i flokken. Men den risikoen vil vi ikke løpe. Heldigvis faller vi ned i kassen av databehandlere, som slipper noe enklere om GDPR, enn de dataansvarlige selskapene gjør.
Selv om Intempus bare er databehandler, slipper vi nok likevel ikke for å ha en personvernombud. Eller, som personen spøkefullt kalles, en “professionell pain in the ass”. Dette er en person som er ansvarlig for å overvåke at personvernforordningen overholdes. Etter vår beste vurdering er det ikke snakk om en nyansettelse, men en eksisterende medarbeider som får dette ansvaret i tillegg til sine nåværende oppgaver, og da en krevende oppgave med å holde seg på god fot med kollegene fremover.
