Hvordan jobber vi med GDPR i praksis? Smartgridsenteret 19. april 2018
Om Nettalliansen 46 eierselskap per april 2018 Samlet 290.000 målepunkt Visjon Nettalliansen skal sikre handlingsrommet til det lokale nettselskapet Mål Muliggjøre økt kostnadseffektivitet gjennom uttak av stordriftsfordeler 2
GDPR-prosjektet støtter eierselskapene i Nettalliansen Forprosjekt GDPR Høsten 2017 Hovedprosjekt GDPR Des 2017 Mai 2018 GDPR trer i kraft 25.mai 2018 Kartlegging og gapsanalyse Leverandøroppfølging Bygge kompetanse Utarbeide bransjenorm Definere nødvendige tiltak Etablere felles rutiner og prosesser 3
GDPR hva er det? Lov om behandling av personopplysninger Personvernforordning som trer i kraft 25. mai 2018 Det legges opp til et strengt vern og høye bøter Loven skal bidra til at fysiske personers grunnleggende rettigheter og friheter blir ivaretatt.
Hva er personopplysninger i et nettselskap? I nettselskap har vi personopplysninger om kunder og ansatte. Opplysninger som behandles om kunder er Opprette, vedlikeholde og avslutte kundeforhold Nyanlegg, Strømforbruk, Søknader, Betalingshistorikk, Måleverdier Opplysninger som behandles om ansatte Adgangskontroll, flåtestyring, måling responstid i kundesenter, Overvåkning av garasjer og tekniske anlegg, Lønn, fravær, kompetanse, fagforening, medarbeidersamtaler 5
Hvorfor kartlegge? For å sikre at virksomheten opptrer i overensstemmelse med regelverket må man skaffe seg oversikt. Hvilke personopplysninger behandles? Er behandlingen er i overensstemmelse med reglene? Når en har skaffet seg oversikt er det mulig å etterprøve om reglene følges, se hvilke tiltak som må gjøres og prioritere disse. GDPR stiller i artikkel 30 krav til at virksomheter skal ha en oppdatert oversikt over sine behandlinger. 6
7 Kartlegging gjort enkelt
Sammenstilling gir oversikt Databehandleravtale nødvendig? Hvor behandler vi sensitive opplysninger? 8 Hvilke felles leverandører har vi? Leverandør Embriq Powel Enoro Telenor Visma KLP Kredinor Microsoft CGI Trainor Infotjenester Powel Cascade Devinco ABAX Adcom REN Sysco Phonero
Leverandøroppfølging Prosjektet har tatt kontakt med de største leverandørene på vegne av selskapene Vært en kanal for informasjonsutveksling Aktiv kravstiller for å få etablert nødvendig funksjonalitet for å ivareta nye rettigheter og plikter Kvalitetssikring av avtalemaler 9
10 Hvordan gjøre opplæring i personvern lett tilgjengelig og morsomt?
11 Spillbasert opplæring i app
Bransjenormarbeidet ledet av EnergiNorge Formålet er å styrke personvernet og gjøre det lettere for virksomheter særlig de mindre å etterleve personvernregelverket. Et regelsett for en spesifikk bransje Konkrete regler og retningslinjer Ei bransjenorm er utviklet av bransjen selv, men godkjennes av Datatilsynet. 12
Tema som vil utdypes i bransjenormen Personvernombud Aktuelle behandlingsgrunnlag Bruk av samtykke Roller og ansvar mellom aktører i verdikjeden Oppbevaringstid/sletting Krav til tilgangsstyring 13
«Vi kommer aldri til å klare å følge reglene helt, så da kan vi like gjerne ikke gjøre noe» Det vil alltid være en risiko for at man ikke er helt i overensstemmelse med reglene Det å ikke gjøre noe i motsetning til å forsøke å etterleve vil ha betydning for de bøter en kan få Fokus på bransjen som følge av AMS og de data som samles inn der Viktig å komme i gang, vise og dokumentere at man har tenkt 14
GDPR våre plikter oppsummert Etablere og holde vedlike en oversikt over alle personopplysninger som behandles i egen virksomhet Være kjent med plikter, lover og forskrifter for behandlingen av personopplysninger virksomheten er ansvarlig for Ha rutiner og prosesser som ivaretar den registrertes rettigheter Ha etablert kontrollrutiner som følger opp at etablerte rutiner og andre tiltak følges Sørge for å ha prosesser som jevnlig vurderer behov for nye tiltak eller endring i eksisterende tiltak 15
16 Anna Nysetvold, Prosjektleder, Mometo AS anna.nysetvold@mometo.no