Den 25. mai 2018 blir EUs forordning for personopplysning, The General Data Protection Regulation (GDPR), lov i Norge. Det nye regelverket vil gi oss som virksomhet nye plikter – og enkeltpersoner nye rettigheter.

For å legge til rette for innføringen av GDPR og sørge for at TAFJORD møter de nye utfordringene med riktige og tilpassede tiltak ble prosjektet «GDPR-2018» etablert i november 2017. Olaug Vedeld er intern prosjektleder og prosjektgruppen har med seg ekstern kompetanse fra selskapet Knowit i Bergen. Styringsgruppe for prosjekter er Konsernledergruppen.

Vedeld forteller at den nye personopplysningsloven vil gi oss som virksomhet nye plikter – og enkeltpersoner nye rettigheter.

– Prosjektgruppen skal kartlegge nåsituasjonen og utarbeide handlingsplaner for lukking av avvik. Vi skal også få på plass planer for hvordan vi skal etterleve de nye kravene som kommer med innføringen av GDPR. Målet er at TAFJORD skal ha tilpasset rutiner, prosesser og systemer slik at vi tilfredsstiller regelverket i den nye personopplysningsloven fra mai 2018, sier hun.

Omfattende kartleggingsprosess
Det er førende for prosjektet at man prioriterer de endringer og tilpassinger som er nødvendige for måloppnåelse. Dette innebærer en omfattende kartleggingsprosess der en først må sette seg inn i de kravene som gjelder i forhold til det å føre register over alle typer persondata og databehandlinger av disse. Prosjektgruppen må så skaffe oversikt over hvilke data som samles inn om den enkelte person pr i dag, samt hva som er begrunnelsen for og nødvendigheten av å samle og oppbevare slike data.

– Prosjektet er delt inn i to faser. I løpet av fase 1 skal vi legge frem et underlag for styringsgruppen slik at de kan beslutte hvilke tiltak som skal gjennomføres, samt prioriteringen av disse. Dette betyr at vi må ha på plass en god beskrivelse av nåsituasjonen, begrunnelse og kostnader relatert til gjennomføring av nødvendige tiltak, samt legge frem en plan for gjennomføring, forteller Vedeld.

Flere virksomhetsområder berørt
I prosjektets andre fase står selve gjennomføringen av vedtatte og prioriterte tiltak i fokus. Her er det andre og flere ressurser enn prosjektgruppen som må komme på banen.

– Vi har fem virksomhetsområder og flere av disse vil bli berørte av den nye personopplysningsloven. Det vil være flere endringer som må gjennomføres i rutiner og prosesser og vi ser at for å komme i mål innen 25. mai 2018, er det nødvendig at de ulike virksomhetsområdene tar ansvar for de endringene som de må gjennomføre for å etterleve det nye regelverket. Retningslinjer og rutiner for personopplysning skal legges inn som krav i de enkelte prosesser - og kvalitetssikres mot etablerte prosesser. I tillegg skal det utarbeides rutiner for vedlikehold og avvik, for varsling, innsyn, endring, sletting og portabilitet. Vi må også få på plass opplæringstiltak for ansatte og innleide medarbeidere, sier Vedeld, som påpeker at det er en stor jobb som skal gjennomføres.

Redusert forretningsmessig risiko
– Dette er imidlertid vel anvendt tid. Resultatet av arbeidet med personvern og personopplysninger vil bli redusert forretningsmessig risiko. Vi vil få bedre kvalitet i interne og kunderettede prosesser, og et høyere sikkerhetsnivå totalt i konsernet. Vårt ønske er at vi skal bruke GDPR til å styrke merkevaren og kundelojaliteten. I prosjektet vil vi derfor legge stor vekt på utarbeidelse av rutiner for bruk av samtykke fra kunden for oppbevaring og bruk av personopplysninger, sier hun.

Prosjektet avsluttes med en rapport som beskriver hva som er utført og den nye nåsituasjonen som skal vise at TAFJORD etterlever det nye regelverket som trår i kraft i mai 2018.