De nye personvernreglene som kom gjennom GDPR i 2018 innebærer at listen over plikter Autogear har knyttet til personvern oppdateres og utvides. De gir også nye rettigheter til personer med personlige data som lagret hos Autogear. I denne artikkelen beskriver vi hvordan vi har arbeidet med utfordringene og mulighetene knyttet til dette.
Som et teknologiselskap med potensielt sett sensitive opplysninger om bilers bevegelser så har vi hatt fokus på personvern fra starten. Vi hjelper folk å føre oversikt over hvor biler har vært, og det er åpenbart at dette ikke er informasjon som noen vil tolerere at havner på avveie.
Derfor har vi hatt sikre systemer og klart definerte retningslinjer og rutiner siden lenge før GDPR ble allment kjent. Godt personvern er et krav fra kundene, og det har vært verdiskapende og viktig for oss å være gode innenfor området.
Med GDPR på vei har vårt arbeid derfor vært preget av å gjennomføre oppdaterte kartlegginger og analyser, samt at vi har gått gjennom oppsett og prosesser rundt personvern. Sluttbrukernes nye utvidede rettigheter knyttet til dataportabilitet, sletting, innsyn etc. har vært i sentrum for arbeidet.
I tillegg har etterspørselen fra kunder etter å inngå databehandleravtale med oss økt betydelig, og vi har derfor innført en standardisert databehandleravtale som gjelder for alle kunder og som kan lastes ned ved behov.
Kartleggingsarbeid som grunnstein - og sjekklister som hjelpemiddel
GDPR endrer ikke i stor grad på selve prinsippenes i godt personvern og tidligere lovgivning. Dersom en bedrift har store problemer med å oppfylle kravene i GDPR så mener vi det er et symptom på at man fra før av trolig har vært i brudd med den relevante lovgivningen.
Allikevel må enhver GDPR-prosess begynne med kartlegging. I Autogear har vi gjort dette både ved å kartlegge hvordan vi ligger an i forhold til den nye forordningen, samt ved å oppdatere vår oversikt over hva slags personlige data vi behandler for våre kunder, i hvilke systemer disse behandles og med hvilken hjemmel vi foretar behandlingen.
Sjekklister fra flere seriøse kilder er gjennomgått, samtidig som selve forordningen er lest i detalj. Vi kan konstatere at GDPR gjennomgående er preget av sunn fornuft. (Og at enkelte rådgivere kanskje har gått vel langt i tolke reglene strengt for en del større aktører.)
Tilnærming til GDPR
Vår oppsummering av samtlige lover og regler etter innføringen av GDPR er at det dreier seg om respekt for individet og sunn fornuft og skepsis knyttet til hvordan prosesser og løsninger bygges opp i bedriften.
Vi føler også det går et sentralt skille mellom bedrifter som videreselger databaserte produkter og bedrifter som kun presenterer brukerens egne data tilbake til brukeren.
Autogear faller i den siste kategorien - vi videreselger eller videreformidler ikke data og leverer en tjeneste hvor det er rimelig enkelt å forstå hva slags behandling vi driver med. (Vi registrerer kjøreturer og presenterer dem tilbake til brukeren.)
Tap av tillit er en større fare enn bøter fra Datatilsynet
Størrelsen på eventuelle bøter i GDPR-sammenheng får mye oppmerksomhet. For oss er scenarioet med bot ikke det som opptar oss mest. Det som opptar oss er de eventuelle effektene et brudd på datasikkerheten vil ha på tilliten vår i markedet.
Svekket tillit fra kunder og andre interessenter utgjør en langt større “bot” enn det myndighetene vil påføre oss ved brudd slik vi ser det.
Særskilte tiltak i forbindelse med data om kundenes turer
Som et ledd i GDPR-arbeidet har vi fokusert på å gjennomføre en såkalt DPIA - Data Protection Impact Assessment for data om bevegelsene til bilene til våre kunder.
I vår analyse har vi funnet at konsekvensene ved brudd på datasikkerheten knyttet til turdata er såpass store at vi må fortsette å oppretthold ekstraordinære tiltak på denne fronten.
Dette vil i noen tenkte tilfelle føre til at kunder vil kunne oppleve noe frustrasjon knyttet til våre krav til identifikasjon dersom de henvender seg f.eks. fra tidligere ukjente telefonnummer eller lignende. Samtidig vil vi opprettholde vår policy om å ikke tilgjengeliggjøre turdata utenfor webløsningen.
Videre blir webløsningen som allerede har streng passordbeskyttelse satt opp med to-faktoridentifikasjon for de som ønsker det. Dette er nettopp for å ta hensyn til spennvidden i hva slags konsekvenser det kan være snakk om dersom data kommer på avveie i hvert enkelt tilfelle.
Vi har allerede en innebygget personvernfunksjon i løsningen og støtte for ulike typer tilgang for ulike brukere i bedriften. Dette hjelper våre kunder å utøve kontroll over dataene internt.
Organisasjon og ikke bare teknologi
De aller beste prosesskart, krypteringer og underleverandører hjelper ikke på datasikkerheten dersom organisasjonen hos databehandlere som Autogear ikke står bak og forstår viktigheten av personvern.
Vi har derfor styrket våre interne retningslinjer når det gjelder hvilke ansatte som har tilgang til personlig informasjon. Forutsetningene kan man lese mer om i databehandleravtalen vi inngår med våre kunder. I tillegg har vi innført personvern på agendaen for våre månedlige møter med alle ansatte for å sikre at vi opprettholder en fortsatt høy bevissthet rundt temaet.
Som en følge av at turdata på avveie vil kunne ha store negative konsekvenser så har vi sett det som naturlig å opprette og melde inn personvernombud til Datatilsynet. Daglig leder Annar Bøhn har denne rollen i Autogear.
Anonymisierte data hos underleverandører
Alle underleverandører har inngått databehandleravtaler med oss og driver i henhold til reglene i GDPR og ellers.
Når vi betaler andre bedrifter for å bidra i vår verdikjede - for eksempel til prosessering av GPS-data - så er grunnprinsippet allikevel at vi sørger for at data ikke skal kunne knyttes til bedrifter, kjøretøy eller personer. Dette kalles anonymisering. Dermed vil det ikke være mulig for selv våre nærmeste leverandører å koble registrerte GPS-data til kunder i tilfellet de skulle oppleve brudd på deres systemer.
Samtidig er vi en skytjeneste og er avhengig av å la selve webløsningen vår driftes i et såkalt hostingmiljø. Her har vi valgt Amazon Web Services som er verdens ledende leverandør på området og som har en omfattende dataprosesseringsavtale på plass for kunder. Denne inngikk vi lenge før GDPR trådde i kraft og den utgjør en sentral del av rammeverket for personvern i Autogear.
Har du ønske om å benytte deg av en av de nye rettighetene du har som sluttbruker basert på GDPR så kan du henvende deg til kontakt@autogear.no.
