Kundehistorie: Eidsiva Bredbånd

Septer • 27. oktober 2020

Eidsiva Bredbånd

Eidsiva Bredbånd vil være best i klassen på personvern. Med hjelp fra Septer AS har de gått systematisk til verks for å forsikre seg om at alle ledd i virksomheten overholder personvernforordningen.

Når lovverket ikke er helt rett frem synes Monica Indahl fra Eidsiva Bredbånd at det er trygt å lene seg på kompetanse fra erfarne jurister. Det er enkelte avgjørelser som må være godt fundamenter i lovverket og da er det nødvendig med ekspertise fra spesialister som kan dette, sier Monica, her avbildet fra høyre. Til venstre Julie Dessen fra Septer AS. Foto: Benedikte Kjernsmo/Septer AS

I dag setter myndighetene høye krav til hvordan personopplysninger blir forvaltet. Det er lovpålagt å dokumentere at virksomheten følger loven og iverksetter de organisatoriske og tekniske tiltak som er nødvendige for å overholde gjeldene regelverk. Dette legger et stort ansvar over på norske bedrifter, et ansvar som folkene i Eidsiva Bredbånd virkelig har tatt på alvor.

Vi vil være best i klassen på personvern

«Vi er store og vi har et særskilt ansvar i å sette standarden høyt – vi må være best i klassen på dette». Det sier Monica Indahl, IT- konsulent og personvernombud iEidsiva Bredbånd. Eidsiva Bredbånd opplevde at de var tidlig ute med å ta tak i arbeidet for godt personvern i bedriften. Selv om personvern har vært et lov festet ansvar for norske bedrifter i flere år, gir det nye regelverket fra 2018 flere plikter enn tidligere, og et betydelig ansvar når det kommer til behandling av personopplysninger.

Skulle man bryte loven er det ikke bare renommeet virksomheten setter på spill, det kan også få betydelige økonomiske konsekvenser. Indahl påpeker at et godt personvern også er et samfunnsansvar. «Det å sitte på så mye informasjon om så mange mennesker krever åpenbart mye av oss, strenge rutiner og klare retningslinjer for hvordan vi forholder oss til dette er helt nødvendig». I dag holder Eidsiva Bredbånd gratis personvern kurs for sine leverandører og eksterne partnere der de ser at det er nødvendig. For de som jobber i Eidsiva Bredbånd har Monica laget et GDPR spill og en konkurranse for å gjøre det litt mer moro å lære mer om personvern og GDPR. Et tema det viste seg at mange visste lite om. Med slike tiltak har de vært med på å heve kunnskapsnivået i bedriften og hos sine samarbeidspartnere. Alle som forvalter personopplysninger i Eidsiva Bredbånd i dag skal forstå hva det ansvaret innebærer, og det stilles høye krav til at samarbeidspartnere har sine rutiner på plass. Men det har vært en vei å gå frem til der de er i dag.

Kartlegging og risikovurderinger

Det var da Indahl gikk et kurs for PVO på Høyskolen i Lillehammer at hun forstod at de bare hadde begynt å skrape på overflaten. Hun så behovet for å gå mer systematisk til verks for å sikre at alle prosesser i organisasjonen var i overensstemmelse med gjeldende regelverk. «Med det arbeidet som stod foran oss forstod jeg at vi trengte hjelp fra en ekstern partner, noen som kunne komme med «nye øyne» og hjelpe oss å fokusere på de riktige tingene», sier Indahl. Det var på dette tidspunktet de tok kontakt med Septer AS, som har spesialisert seg på personvern og GDPR. Sammen med Septers jurist er startet Monica arbeidet med å kartlegge hele virksomheten og finne ut hvilke deler av organisasjonen som behandlet personopplysninger, og hvordan disse ble håndtert. Deretter kom arbeidet med å få på plass lovpålagte protokoller og databehandleravtaler med leverandører. Interne rutiner for forvaltning ble også nøye gjennomgått. Der det ble oppdaget hull eller gap mot regelverket ble det gjennomført risikovurderinger. Indahl kan fortelle at de har måttet avslutte noen avtaler og sagt nei til aktuelle samarbeidspartnere. «Det var enkelte aktører som ikke var kommet der vi var i forhold til GDPR, her har vi måtte lære dem opp eller avslutte samarbeidet hvis de ikke gjorde det som måtte til for å nå våre standarder», forteller Indahl. «Noen aktører har til og med takket oss for at vi dyttet dem i riktig retning».

Julie Dessen i Septer AS opplever at de mest komplekse problemstillingene oppstår i de sakene hvor lovverket ikke er i takt med den teknologiske utviklingen, her avbildet til høyre. Tv; Monica Indahl i Eidsiva Bredbånd

Når loven ikke holder tritt med den teknologiske utviklingen

«Der vi så komplekse situasjoner var juristene der for å forenkle arbeidet, gi oss trygghet på at vi beveget oss i riktig retning» sier Indahl om det å søke juridisk bistand i personvernarbeidet. Eidsiva Bredbånd opplevde at Septer har vært en viktig sparringspartner når de har møtt på mer utfordrende juridiske problemstillinger.

Julie Dessen, som har vært en av ressursene fra Septer hos Eidsiva Bredbånd, forteller at de mest komplekse problemstillingene oppstår i de tilfellene hvor loven ikke følger med i den digitale utviklingen og at det er i disse tilfellene det blir ekstra viktig med gode juridiske vurderinger. «Det er derfor vi også synes det er så spennende å bistå en bedrift som Eidsiva Bredbånd», sier Julie, «de har en høy teknisk kompleksitet og behandler svært store mengder personopplysninger, så her gjelder det å være ryddig». Dessen forteller at utover de fundamentale tiltak som personforordringen krever, er det dimensjoner ved personopplysningsloven som er mer kompleks og ofte fordrer spesiell kompetanse. Det kan være forhold som har forgreninger til e-komrammeverk, innebærer særskilte sikkerhet skrav eller krever samspill med politi og kripos.

I tillegg til å benytte seg av juridisk bistand fra Septer har Eidsiva Bredbånd vært en av de første til å ta i bruk Varn. Varn er et digitalt verktøy som forenkler arbeidet med å etterleve lovverket i personvernforordningen. Monica Indahl i Eidsiva Bredbånd synes Varn har gjort det enklere å følge opp de pliktene som følger av regelverket, og som personvernombud å få med hele virksomheten i dette arbeidet. «Det gjør oss mindre sårbare, hvis jeg skulle være så uheldig å bli overkjørt av trikken», ler Indahl. Varn bidrar til ansvarsfordeling slik at personvernombudet ikke blir sittende alene, og alt personvern arbeidet fra ulike deler av organisasjonen blir dokumentert her. «Jeg får til og med hjelp av Septers jurister direkte i systemet, så her er veien til juridisk ekspertise kort», sier Indahl.

"Jobben med godt personvern er ikke noe man blir ferdig med."
Monica Indahl IT-Konsulent og Personvernombud i Eidsiva Bredbånd

Selv om vi har gjort et grundig arbeid og vi har fått mye på plass, blir man aldri ferdig med å sikre godt personvern i bedriften, sier Monica. «Der vi er nå handler det om å opprettholde de gode rutinene, men nye avtaler må uansett gjennomgås med hensyn til GDPR, og behandlingsaktiviteter og avvik må registres». Monica presiserer at dette er et kontinuerlig arbeid, som både personvernombudet, men også nøkkelpersoner i organisasjonen hele tiden må være seg bevisst.

Septers 5 tips til Personvernombudet

1. Skaff deg oversikt – hva slags personopplysninger behandler dere og hvordan behandler dere disse opplysningene.
2. Involver hele virksomheten – undersøk hver enkelt avdeling eller sitt ansvarsområde.
3. Dokumenter dine tiltak underveis i prosessen og før opplysningene du finner inn i en protokoll.
4. Sørg for å få på plass gode interne rutiner og at disse rutinene er godt kjent i virksomheten slik at de overholdes av alle.
5. Gi riktig og forståelig informasjon til alle som dere behandler personopplysninger til og sørg for at disse er lett tilgjengelig.