25. mai trer det nye lovverket for personvern, GDPR, i kraft i EU. Både vi og kundene våre berøres av den nye loven. Hva har vi gjort for å tilpasse oss?

General Data Protection Regulation (GDPR) er den nye EU-loven for personvern. For enkeltpersoner innebærer den en skjerpet mulighet til å bestemme hva andre kan gjøre med egne personopplysninger, skjerpet beskyttelse av de opplysninger man har gitt fra seg, og regler som sikrer innsyn og mulighet til å kreve sletting. For virksomheter betyr det innstramminger knyttet til innsamling, lagring og bruk av persondata.

Dette har vist seg å være nødvendig i en digital tid der det samles inn mer data om mennesker enn noen gang før.

Bjørn Rist er senior partner og forretningsutvikler i Maze og har ledet arbeidet med å sørge for at Maze er tilpasset GDPR. Han svarer på hva Maze har gjort for å bli «GDPR-klar».

Når startet Maze arbeidet med å være i overensstemmelse med GDPR?

Selve grunnsteinen til GDPR er god datasikkerhet. I Maze har vi jobbet med datasikkerhet og personvern i en årrekke. Det har sin bakgrunn i at vi har store og krevende kunder, som både krever meget god sikkerhet, men også at vi må kunne dokumentere det vi gjør; fra teknisk infrastruktur til vurdering av risiko, innføring av regler og prosedyrer, og hvordan vi har implementert dette i organisasjonen.

Som følge av dette har vi innført et regime for styring av sikkerhet (Information Security Management System). Det sikrer våre kunders data, herunder også personopplysninger. Dette har vi gjort med sikte på ISO 27001/27002-sertifisering.

Med tanke på å prioritere datasikkerhet har vi sånn sett jobbet med GDPR i en årrekke. Men, GDPR stiller også nye krav til opplyst mulighet for å selv vurdere samtykke, bruk av data, og mulighet for innsyn og sletting. Disse tingene satte vi for alvor fart på i fjor vår.

Hvilke steg er tatt for å gjøre Maze klar for GDPR?

Det første steget var å intensivere arbeidet med datasikkerhet og personvern etter eksisterende lovgivning.

Det neste steget var å forstå hvordan GDPR ville påvirke kundene våre og oss. For å sikre det lovmessige, etablerte vi et samarbeidet med advokatfirmaet Wiersholm.

Det viktigste for oss har vært å ivareta kundene våre, og sørge for at vi er en trygg underleverandør. Et nødvendig steg var derfor å innskjerpe rettigheter og plikter i forhold til personvern i en GDPR-tilpasset databehandleravtale.

Databehandleravtalene skal sikre at Maze som databehandler, og vår kunde som behandlingsansvarlig, har tydelige, lovmessige rammer slik loven krever for den behandlingen som skal utføres. Herunder også hvilket ansvar, rettigheter og plikter som påhviler hver av oss.

Videre gikk vi over egne hjemmesider, personvernerklæring og retningslinjer for informasjonssikkerhet. Vi tilpasset disse etter de nye reglene, og stilte nye krav til våre underleverandører.

Maze bruker ofte spørreundersøkelser som verktøy. Hva har blitt gjort for å tilpasse disse GDPR?

Allerede våren 2017 la vi en strategi for hvordan vi skulle håndtere GDPR, herunder også alt som har med spørreundersøkelser å gjøre. Vi har vært opptatt av å gjøre ting på en praktisk og gjennomførbar måte, og sikre at vi er godt innenfor regelverket. Det betyr at vi har valgt å gjøre en del justeringer, blant annet gjennomgang av invitasjonstekster og lenker til våre kunders personvernerklæringer (som utdyper hvordan man håndterer personopplysninger).

Hva innebærer det å være i overensstemmelse med GDPR?

Å være i overensstemmelse med GDPR vil i realiteten si at personvern alltid, i alle forretningsprosesser, står lengst frem i panna som «default»!

Hva mener Maze om den nye loven?

Vi mener at denne loven er viktig og nødvendig for å innskjerpe at personopplysninger blir godt beskyttet. Noen vil kanskje mene at det er mye anstaltmakeri, og det er et problem at lovgiverne ofte er på etterskudd i forhold til teknisk utvikling. Det vil ofte være teknisk/juridiske grenseland som kan være krevende å håndtere i praksis, og som lovgiverne vanskelig kan tenke på i alle detaljer.

Men, jeg er ikke i tvil om at loven vil føre til større sikkerhet og oppmerksomhet rundt personvern. Det ser vi allerede, og det vil utvikles ny beste praksis over tid!

Vil du vite mer om hva Maze kan gjøre for din virksomhet? Les historiene til kundene våre.