De nye personvernreglene (GDPR) en en vesentlig endring av regelverket som griper inn i alle typer organisasjoner og medfører mye arbeid for å tilpasse seg. Vi har forståelse for at nytt regelverk er nødvendig for å speile det digitale samfunnet vi lever i. For Easybank er kundens personlige integritet viktig og etterlevelse av regelverket har høy prioritet. Derfor har vi satt GDPR høyt på agendaen hos oss, forteller administrerende direktør i Easybank, Oddbjørn Berentsen.

– Våre kunder og andre interessenter skal føle seg trygge på at vi håndterer personopplysninger forsvarlig og i henhold til regelverket, fortsetter han.

Geir Jørgensen er compliance direktør i Easybank. Stillingen innebærer ansvar for at banken følger alle lover og regler, herunder GDPR.

– Slik som situasjonen er nå, kan du si at vi har kommet godt i gang, men det fortsatt er en del arbeid som gjenstår, forteller Jørgensen.

– Vi har opparbeidet god oversikt over hva vi må gjøre fremover og ikke minst forståelse for hvordan reglene skal tolkes. Tilpasningen er påbegynt, så jeg er helt sikker på at vi vil komme i mål i god tid til fristen 25. mai. Men vi er på ingen måte ferdige, fortsetter han.

Småskremt i starten

Easybank, ble stiftet i 2003 og gjennomgikk en større omstilling i 2016. I dag retter banken seg først og fremst mot forbrukermarkedet hvor de primært tilbyr forbruksfinansiering og ulike spareprodukter. Banken er nettbasert med hovedkontor i Oslo.

– Organisasjonen vår er ikke så stor, men de samme reglene gjelder i prinsippet for oss som for større virksomheter når det kommer til håndtering av store mengder personopplysninger. I starten ble jeg nok litt småskremt av GDPR, men da jeg overvar en konferanse hvor Datatilsynet deltok, fikk jeg en langt større ro rundt dette. De tydeliggjorde at det bygger videre på dagens personopplysningslov og GDPR føles da overkommelig. Det viktigste er at man opparbeider oversikt, kunnskap og kontroll internt. Vi som bank er vant til regeletterlevelse, og har derfor gode rutiner på plass allerede, forklarer Jørgensen.

IT-systemet som forenkler

Det første Easybank gikk i gang med var å avdekke hvor personopplysninger oppbevares, og i tillegg få en oversikt over hva slags opplysninger de hadde og hvorfor de var lagret.

Easybank kom i kontakt med Draftit Privacy, et nordisk selskap som leverer digitale produkter designet for å gjøre juridiske arbeidsoppgaver enklere:

– "Records", er et skreddersydd verktøy for å systematisere håndteringen av personopplysninger, slik at vi til enhver tid har oversikt og full kontroll over alle behandlingene våre. Verktøyet gjør det mye enklere å bygge en digital protokoll over de aktivitetene hvor vi benytter personopplysninger. Records er bygd opp på en pedagogisk måte, ved at det stiller spørsmål utarbeidet av eksperter, som vi må svare på. I tillegg henviser den til relevante lovkrav. Når vi har besvart et skjema, har vi dokumentert viktige elementer som vi må ha kontroll over. Dessuten kan vi enkelt gjøre oppslag og avdekke om det er noe vi bør undersøke nærmere og ta tak i med en gang. Det gjør at hele prosessen blir veldig enkel og faktisk ganske mye morsommere også, forteller han.

– Gjennom systemet kan jeg også sende forespørsler til andre i arbeidsgruppen. De fyller ut og returnerer for kontroll. Samarbeidet om å sikre personvernet effektiviseres og kompetansen utnyttes siden flere personer kan inviteres til å registrere sin daglige håndtering av personopplysninger i bedriften.

En komplett oversikt

Easybank skaper en komplett oversikt over hvilke behandlinger de utfører i Records. Her kan de eksempelvis slå opp hva de har av opplysninger, hvorfor de har dem, hva slags lovhjemmel de har for å lagre dataene, hvor dataene befinner seg og på hvilken måte de er beskyttet. Om data utleveres eller overføres til en databehandler kan dette dokumenteres også med opplastning eller henvisning til avtaler, i tillegg til at programmet automatisk skaper et arkiv over hvem som har hvilke roller og ansvar for de forskjellige behandlingene.

– Protokollen beviser kartleggingen vi har foretatt, men viktigst av alt kan vi kjøre ut en praktisk og oversiktlig rapport som dokumenterer dette, for eksempel overfor Datatilsynet.

– Vi er positive til at forordningen gjennomføres og at personvernet blir tatt på alvor, selv om det medfører mye arbeid. Ved å være tidlig ute og ved hjelp av et godt system, føler jeg at vi har litt mindre dårlig tid nå enn det vi hadde for noen måneder siden, sier Jørgensen smilende.