25. maj træder den nye persondataforordning GDPR i kraft i EU. Både vores kunder og vi berøres af den nye lov. Hvordan har vi gjort os klar?

General Data Protection Regulation (GDPR) er den nye EU-lov for personbeskyttelse. For enkeltpersoner indebærer det en mulighed for selv at bestemme hvad andre kan gøre med dine personoplysninger, bedre beskyttelse af de oplysninger man har givet fra sig, og regler som sikrer gennemsigtighed og mulighed for at kræve sletning. For virksomheden betyder det indskrænkninger i forbindelse med indsamling, lagring og brug af persondata. Dette har vist sig at være nødvendigt i en digital tidsalder, hvor der indsamles flere data om det enkelte menneske end nogen sinde før.

Bjørn Rist er senior partner og forretningsudvikler i Maze og har ledet arbejdet med at gøre Maze GDPR-parat:

Hvornår begyndte Maze arbejdet med at komme i synq med GDPR?

Selve fundamentet for GDPR er god datasikkerhed. I Maze har vi arbejdet med datasikkerhed og personbeskyttelse i en årrække. Baggrunden for dette er, at vi har store og krævende kunder, som både kræver rigtig høj sikkerhed, men også, at vi skal kunne dokumentere det vi gør; alt fra teknisk infrastruktur til vurdering af risiko, regler og procedurer og hvordan vi har implementeret dette i vores organisation.

Som følge heraf har vi indført et regime for styring af sikkerhed (Information Security Management System), som sikrer vores kunders data, og herunder også personoplysninger. Det har vi gjort med henblik på en ISO 27001/27002-certificering.

Fordi vi har prioriteret datasikkerhed, kan man sige, at vi sådan set har arbejdet med GDPR i en årrække. Men GDPR stiller også nye krav til udvidet mulighed for selv at vurdere samtykke, brug af data, og mulighed for indsigt og sletning. Disse elementer satte vi for alvor fokus på sidste forår. Så de specifikke GDPR forhold har vi arbejdet med i et års tid.

Hvilke skridt er taget for gøre Maze klar til GDPR?

Det første skridt var at intensivere arbejdet med datasikkerhed i forhold til eksisterende lovgivning.

Næste skridt handlede om at forstå hvordan GDPR ville påvirke vores kunder og os. For at sikre det lovmæssige etablerede vi et samarbejde med advokatfirmaet Wiersholm.

Det vigtigste for os har været at håndtere vores kunder og sørge for at vi er en tryg underleverandør. Et nødvendigt skridt var derfor også at indskærpe rettigheder og pligter i forhold til personbeskyttelse i en GDPR tilpasset databehandleraftale.

Databehandleraftalen skal sikre, at Maze som databehandler, og vores kunder som dataansvarlige, har tydelige, lovmæssige rammer for den databehandling der skal udføres. Herunder også hvilket ansvar, rettigheder og pligter der påhviler parterne.

Endvidere gennemgik vi vores egne hjemmesider, personbeskyttelses erklæringer og retningslinjer for informationssikkerhed. Vi har tilpasset disse til de nye regler, og har stillet nye krav til vores underleverandører.

Maze bruger ofte spørgeundersøgelser som værktøj. Hvad er der blevet gjort for at tilpasse dem til GDPR?

Allerede i foråret 2017 lavede vi en strategi for hvordan vi skulle håndtere GDPR. Herunder også alt hvad der vedrører spørgeundersøgelserne. Vi har været optaget af, at gøre tingene på en praktisk og gennemførbar måde, og sikre at vi holder os godt indenfor regelsættet. Det betyder, at vi har foretaget en del justeringer, blandt andet i e-mail invitationstekster med link til vores kunders persondatapolitik, som uddyber hvordan virksomheden håndterer personoplysninger.

Hvad betyder det, at være i overensstemmelse med GDPR?

At være i overensstemmelse med GDPR betyder i realiteten at personbeskyttelse, i alle forretningsprocesser, står ”default” længst fremme i hjernen.

Hvad mener Maze om den nye lovgivning?

Vi mener, at denne lov er vigtig og nødvendig for at indskærpe, at personoplysninger bliver godt beskyttet. Nogen vil måske mene, at det er meget bureaukrati og at det er et problem at lovgiverne altid er et skridt bagefter den teknologiske udvikling. Det vil ofte være et teknisk/juridisk grænseland som kan være krævende at håndtere i praksis, og som lovgiverne vanskeligt kan gennemtænkes i alle detaljer. Men jeg er ikke i tvivl om, at det vil føre til større sikkerhed og opmærksomhed på personbeskyttelse. Det oplever vi allerede tydeligt, og det vil udvikle sig til ny bedste praksis over tid, slutter Bjørn.