Öresundskraft: 6 steg som hjälper dig att bli redo för GDPR

Annika Runert från Öresundskraft berättar om de viktigaste stegen som energibolagen behöver ta för att leva upp till GDPR.

GDPR- Så påverkas energibranschen

GDPR: En av årets viktigaste frågor för energibolagen. Foto: Colourbox.

Energibolagen behandlar stora mängder information och får därmed en djup insikt i kundernas vardag. Därför är det viktigt att värna om den personliga integriteten och att informationen behandlas korrekt, något som ställs på sin spets när GDPR träder i kraft nästa år.

- Som energibolag verkar vi i en förtroendebransch och bidrar till samhällsnyttan, därför är kundernas tillit otroligt viktig. För att kunna analysera deras information behöver vi vara transparenta och berätta på vilket sätt det är till kundernas fördel, säger Annika Runert.

GDPR medför nya krav, men också många möjligheter. Det nya regelverket kan hjälpa dig att förbättra processer, ta bort de onödiga manuella moment i form av e-post och listor, få koll på informationsflödet, men framförallt: öka korrektheten i informationen. Även när det kommer till system för it och backup kommer energibolagen att kunna uppnå flera fördelar.

Stora utmaningar när GDPR införs

Många energibolag har en komplicerad systemflora med många mindre system. Det är också vanligt att man använder Excel som processtöd. Filerna kan därför vara utspridda på olika filservrar och skickas ofta via mail. Det är också vanligt att det saknas ett system för ärendehantering, något som kan vara mycket tidskrävande.

-  Utan systemstöd är det lätt hänt att man delar personuppgifter via e-post och att ärenden skickas till underleverantörer utan spårning. Det finns då risk att information skickas utan kryptering. Att kartlägga hanteringen kan vara tidskrävande och det blir lite som att öppna Pandoras ask, men det är viktigt att få en överblick över informationsflödet, säger Annika Runert.

Parallellt med GDPR-frågan genomför många energibolag ett omfattande digitaliseringsarbete. När man dessutom ska hantera den nya dataskyddsförordningen är risken stor att uppgiften blir överväldigande.

- Energibolagen måste definiera vad som är en personuppgift inom den egna verksamheten, så att alla har samma utgångspunkt. Både direkt och indirekt information kan kopplas till en person. Här tror jag många får en utmaning, eftersom gränserna inte är helt tydliga. Med den digitala utvecklingen blir det dessutom allt svårare att definiera vad som är en personuppgift. Smarta mätare kan exempelvis ge insikter i det personliga livet, såsom när någon är hemma eller inte, säger Annika Runert.

- En annan viktig aspekt med GDPR är att dokumentera hur man har resonerat i olika bedömningar av t.ex. intresseavvägning eller rättslig grund. Det kommer vara viktigt att kunna visa att man har försökt göra rätt för sig, tillägger Annika Runert.

3 vanliga fallgropar:

• Se inte GDPR som ett it-projekt, det är verksamheten som måste bedriva arbetet och ställa krav på it när det kommer till systemstöd för att leva upp till GDPR. Tänk på att det är verksamheten som behandlar personuppgifter samt bestämmer syfte och ändamål.

• Många verksamheter som redan efterlever PUL har en tendens att underskatta kravnivån som GDPR innebär. Den så kallade missbruksregeln förvinner, vilket gör att även ostrukturerad information omfattas av de nya kraven. Därför behöver man kartlägga och se över behandlingar som innehåller ostrukturerad information.

• It-avdelningen behöver skaffa sig kunskap kring vilka säkerhetsnivåer som ska hållas för att leva upp till GDPR. De måste också initiera en dialog med leverantörer för att veta var de befinner sig i sina GDPR- förberedelser.

 

6 steg som hjälper dig att bli redo för GDPR

1. Utse ett dataskyddsombud och öka den interna kunskapen

Det första steget är att utse ett dataskyddsombud med rätt kompetens. Dessutom bör du utbilda samtliga medarbetare för att öka kunskapen inom verksamheten. Sätt också in särskild utbildning för olika grupper som har frekvent kontakt med anställda och kunder. Dessa medarbetare hittar man exempelvis inom kundservice, HR och försäljning.

2. Fastställ vad en personuppgift är

Skapa förutsättningarna som krävs för att verksamheten ska veta hur de ska förhålla sig när kartläggningar genomförs. Det är viktigt att fastställa hur just er verksamhet definierar en personuppgift. Se till att ta fram eller uppdatera policys och riktlinjer för exempelvis gallring. Detta behövs i arbetet med kartläggning och registerförteckning.

3. Kartlägg verksamhetens informationsflöden och processer

Gör en kartläggning av informationsflöden och processer för hur personuppgifter behandlas. Därefter beslutas vilka registerförteckningar som behöver upprättas eller om befintliga ska justeras. Man behöver även se över kommunikationskanalerna till kunder och personal för att samordna information och samtyckestexter. Det är viktigt att använda enhetliga texter i samtliga kanaler.

4. Kartlägg brister

Undersök om registerförteckningen lever upp till de nya kraven. Var finns bristerna någonstans? I detta steg kommer man se vilka åtgärder som måste vidtas. Se också till att personuppgiftsbiträden får rätt instruktioner. Annika Runert menar att det inte kommer finnas "one size fits all" för den här typen av avtal, det kan finnas en grundläggande mall men instruktionerna kommer att skilja sig åt. Tänk också på att om man samlar in information från en tredjepartsleverantör ligger ansvaret på den personuppgiftsansvarige att säkerställa att de är inhämtade i enighet med GDPR. Du behöver därför ha ett avtal med dessa verksamheter.

5. Arbeta med städning och gallring

GDPR ställer ökade krav på korrekt information och att den inte lagras längre än nödvändigt. Se därför till att information som inte används inom verksamheten gallras bort. Detta är ett omfattande arbete för de flesta energibolag. Annika Runert menar att man ska se GDPR som en möjlighet till att förbättra datakvalitet i sina systemen och även minska databasutrymme.

6. Glöm inte säkerheten!

Kartlägg säkerhetsnivåerna i alla system som innehåller personuppgifter. I detta arbete kan ISO27001 vara ett bra stöd. Se till att ta fram en process och struktur för hur säkerhetsincidenter ska identifieras, eskaleras, bedömas och rapporteras. Eftersom detta ska göras inom 72 timmar efter att man gjort upptäckten så måste planen vara snabbfotad.

GDPR kräver långsiktighet

Det råder ingen tvekan om att GDPR-arbetet kräver ordentliga förberedelser och det kan vara svårt att bli klar med samtliga delar innan maj 2018. Men Annika Runert betonar också vikten av det löpande arbetet som måste göras även efter att den nya lagstiftningen trätt i kraft. Se till att verksamheten har en plan för framtiden.  

- På lång sikt kräver hanteringen av GDPR en struktur inom verksamheten med dedikerade roller och ett systematiskt arbetssätt. Organisationen behöver ha GDPR i ryggmärgen när det kommer till utveckling av produkter, tjänster och processer. Dessutom måste arbetet bedrivas uthålligt med omvärldsbevakning för att säkerställa att man anpassar sitt arbete allt eftersom ny vägledning, riktlinjer och prejudikat kommer, avslutar Annika Runert. 

3 tips från GDPR-experten:

  • Dokumentera, dokumentera, dokumentera. Se till att dokumentera alltifrån hur ni resonerar kring rätten att behandla personuppgifter till intresseavvägning, framtagning av policys och riktlinjer samt samtyckes- och informationstexter.

  • Engagera medarbetarna i GDPR-arbetet. Utbilda personalen så att de får kunskap som hjälper dem att se över hur personuppgifter behandlas i deras dagliga arbete.

  • Ensam är inte stark. Knyt kontakter med andra inom branschen och hitta samarbeten. Ta hjälp av t.ex. användarföreningar och Energidataföreningen. Om verksamheten är kommunal är chansen stor att det även finns interna samarbetsmöjligheter.
Annons
Annons
Annons
Annons
Annons