I rute til GDPR

Utfordring

Viking Redningstjeneste stod overfor flere problemstillinger knyttet til GDPR (General Data Protection Regulation). EUs personvernforordning (GDPR) regulerer hvordan virksomheter skal håndtere informasjon om personer, som gis eierskap til egne data. Dette innebærer en rekke nye krav. I tillegg skal selskapet løse utfordringer knyttet til særtrekk ved virksomheten: * Virksomheten er strukturert i ett morselskap og nasjonale, nordiske selskap i tillegg til callsentere i Spania. Viking har også mange franchisetakere av ulik størrelse og med forskjellig nivå på støttefunksjoner og -systemer. * Utveksling av data med samarbeidspartnere, blant annet bilforhandlere, forsikringsselskap, franchisetakere, tele- og posisjoneringstjenester samt tilbydere av tilleggstjenester. * Datafangst på ulike plattformer, som telefon og SMS, noe som blant annet umuliggjør «tradisjonell» innhenting av samtykke via avkryssing i et webskjema.

Løsning

På oppdrag fra Viking har Bouvet utført en grundig analyse av hvordan selskapet innhenter og ivaretar personopplysninger i dag. Disse opplysningene administreres av Vikings informasjonssystem (VIS), som støtter alle prosesser i virksomheten. Analysen staker også ut kursen for arbeidet med GDPR-tilpasninger fram mot og etter mai 2018. Den foreslår og prioriterer diverse tiltak som blant annet omfatter Vikings IT-systemer (innsamling og behandling av data), framtidig programvareutvikling og informasjon av kunder (hvordan samles data inn, innsyn, samtykke, administrasjon og andre rettigheter).

Effekt

Analysen gir Viking et detaljert bilde av nåsituasjonen og hvilke oppgaver selskapet må løse for å implementere og etterleve GDPR. Første mål er at Viking behandler data i VIS iht. GDPR innen mai 2018. Men kravene i GDPR må også ivaretas i fremtiden. Dette vil skje i en kontinuerlig prosess, som både omfatter kompetansebygging, rutiner, systemutvikling, sikkerhet og teknisk drift.