Så rustar branschen för GDPR

Det är en regnig tisdagsförmiddag i slutet på november. I en konferenslokal i centrala Stockholm samlas yrkesverksamma inom finansbranschen – från bolagsjurister och it-chefer till produktansvariga och affärsutvecklare – till ett seminarium om EU:s nya dataskyddsförordning GDPR (General data protection regulation). Förordningen börjar att gälla den 25:e maj 2018, ersätter personuppgiftslagen (PUL) och ställer höga krav på företagens hantering av personuppgifter.

Seminariet är ett uttryck för att finansbranschen gör sig beredd för det kommande regelverket som medför att behandlingen av persondata får en långt mer affärskritisk betydelse än tidigare.

GDPR är inte bara grå moln på himlen

Företrädare från branschaktörer som SEB, Alecta och Nordea är på plats och berättar om deras beredskapsarbete inför och implementering av dataskyddsförordningen.

Inledningstalaren Henrik Bergström från den affärsjuridiska advokatbyrån Osborne Clarke säger att de nya reglerna kommer att bli »oerhört betungande« för de bolag som inte har en effektiv organisation på plats vid ikraftträdandet senare i vår.

–  GDPR är inte bara grå moln på himlen. Förordningen ger bolagen möjlighet att visa att de bryr sig om personlig integritet, vilket kan stärka deras erbjudande, säger han.

Innan vi berättar om hur finansbranschen förhåller sig till dataskyddsförordningen ska vi blicka bakåt.

Låt oss först titta på bakgrunden till och innehållet i regelverket samt varför det tillskrivs sådan uppmärksamhet och betydelse. Fröet till den nya dataskyddsförordningen planterades 2012 när EU-kommissionen beslutade om en utvärdering av det nuvarande dataskyddsdirektivet, vilket har gällt sedan 1995 och i Sverige varit representerat genom PUL. Många tyckte att det var på tiden. Digitaliseringen har förändrat samhället i grunden de senaste tjugo åren. Mängden personuppgifter har ökat rejält samtidigt som företagens it-säkerhetsarbete blivit allt viktigare i spåren av växande så kallad cyberkriminalitet. Förslaget maldes i unionens byråkratikvarnar ett antal år innan det slutligen röstades igenom i EU i april 2016.

Syftet med regelverket är att stärka medborgarnas kontroll över deras personuppgifter

Syftet med regelverket är att stärka medborgarnas kontroll över deras personuppgifter och – som en följd av detta – att öka kraven på företagen beträffande hanteringen av desamma. Ett annat syfte är att skapa en harmonisering av personuppgiftsreglerna inom EU.

– Dataskyddsdirektivet från 1995 hade gjort att medlemsländerna jobbade på olika sätt med den här frågan. I stället för 28 olika dataskyddslagar vill man ha en enhetlig förordning som gäller direkt, säger Martin Brinnen, jurist på Datainspektionen vars uppgift är att hjälpa svenska företag med anpassningen till dataskyddsförordningen.

Att sammanfatta det ton­givande innehållet i GDPR är inte så enkelt. Det första som kan nämnas är att förordningen är betydligt tjockare och mer komplicerad än rådande personuppgiftslagen.

En PDF-version av GDPR är på 88 sidor, PUL omfattar sammanlagt 16 sidor. Den nya förordningen riktar till exempel stort fokus på den registrerades (inte sällan kundens) rättigheter. En del av dessa är färska medan somliga redan är upptagna i personuppgiftslagen men skärps inom ramarna för GDPR.

Här finns bland annat rätten till information om när och hur person­uppgifter behandlas; rätten till dataportabilitet, det vill säga överföring av personuppgifter från en tjänst till en annan; rätten till invändningar, däribland mot att informationen används vid direktmarknadsföring; och rätten till radering ifall personuppgifterna inte längre behövs för ändamålen som de tidigare samlades in för.

Den sistnämnda kan komma att få stor betydelse. En enkätundersökning (med 1 000 deltagare) från it-konsultföretaget Tieto visar att åtta av tio kan tänka sig att be företag att radera lagrad persondata, samtidigt som sju av tio deltagare känner oro över personuppgiftshanteringen. Rätten till radering gäller dock inte alltid. Företag har även skyldighet enligt andra lagar, till exempel bok­föringslagen, att spara viss information, enligt Martin Brinnen.

Därtill innehåller den nya förordningen förstås också en rad skyldigheter för den som behandlar personuppgifter, det vill säga företag, organisationer och myndigheter.

Förenklat beskrivet kan man säga att GDPR ställer högre krav än PUL när det gäller dokumentation, transparens, säkerhet och ansvar kring personuppgifts­hanteringen.

Helt enkelt måste bolagen hädanefter ha järnkoll på vilken information som samlas in samt varför och hur den används och lagras – samtidigt som datahanteringen kontinuerligt ska dokumenteras och motiveras.

En nyhet är att företag vid en säkerhetsincident – exempelvis ett dataintrång eller en oavsiktlig förlust av uppgifter – måste rapportera detta till Datainspektionen inom tre dygn.

Det som dock har dominerat den offentliga diskussionen om GDPR är den nya sanktionsavgiften. Det kan nämligen bli kostsamt att bryta mot dataskyddsförordningen. Vitesbeloppet kan vid allvarliga förseelser uppgå till 4 procent av årsomsättningen, vilket alltså potentiellt blir höga summor för de största svenska bankerna. Dock beror eventuellt bötesbelopp på en mängd faktorer – däribland hur allvarlig överträdelsen är, om den har skett avsiktligt eller inte samt om åtgärder har vidtagits för att minska de negativa konsekvenserna.

Risken för sanktionsavgift kan betraktas som extra alarmerande, särskilt eftersom många företag verkar ha mycket jobb kvar att göra inför GDPR.

Risken för sanktionsavgift kan betraktas som extra alarmerande, särskilt mot bakgrund av att många svenska företag verkar ha mycket jobb kvar att göra inför GDPR.

I en enkätundersökning  som omfattar 100 beslutsfattare inom svenska organisationer med 250 eller fler anställda – från säkerhetsföretaget NTT Security målas det upp en något överraskande bild.

Den visar att bara en tredjedel av de svenska beslutsfattarna tror att personuppgifterna inom organisationen lagras på ett säkert sätt. Återigen framgår det dock inte om undersökningen inbegriper beslutsfattare på finansbolag.

– GDPR är det största som har hänt inom integritetsområdet på 30 år, men förordningen är dock i stora delar en modernisering av PUL. Bolag som har gjort hemläxan under PUL har inte en så stor uppförsbacke inför GDPR, säger Martin Brinnen.

GDPR är det största som har hänt inom integritetsområdet på 30 år

Just nu jobbar finansbranschen alltså på högvarv för att förbereda sig inför att GDPR träder i kraft. Carolin Runnquist, cybersäkerhetsexpert på konsultbolaget PWC, säger till Finansliv att »många« finansbolag har kontaktat dem för rådgivning om dataskyddsförordningen.

Risken för sanktioner i kombination med att det finns en osäkerhet kring hur reglerna ska tolkas gör att banker och försäkringsbolag måste lägga mycket tid och resurser på GDPR, berättar hon.

– Många söker hjälp externt efter att ha drivit frågan själv initialt.

Även Martin Brinnen säger att dataskyddsförordningen medför tolkningssvårigheter. Den så kallade Artikel 29-gruppen arbetar med att underlätta genomförandet av regelverket i de olika medlemsländerna. Gruppen består av representanter från Europas samtliga dataskyddsmyndigheter och tar löpande fram vägledningar kring dataskyddsförordningen. Martin Brinnen berättar att informationsbehovet bland svenska företag är »omättligt«.

– GDPR är inget under av klarhet. Många bestämmelser är diffusa, vilket beror på att förordningen är ett resultat av förhandlingar och kompromisser. Datainspektionen försöker med precision ge svar på hur reglerna ska tolkas i takt med att det kommer nya vägledningar.

GDPR medför åtminstone två utmaningar för finansbolagen, berättar Carolin Runnquist.

Den ena handlar om avvägningen mellan att enligt dataskyddsförordningen minimera mängden personuppgifter och radera överflödig information – samtidigt som man sparar data som behövs för att utveckla verksamheten. En inte helt okomplicerad balansakt, med andra ord.

Den andra utmaningen handlar om olika tolkningssvårigheter, eftersom regelverken kan kollidera med och motsäga varandra. Ett exempel: å ena sidan säger Dataskyddsförordningen att mängden personuppgifter ska minimeras samtidigt som exempelvis penningtvättsreglerna å andra sidan fastställer att viss information måste sparas.

Carolin Runnquist berättar dock att GDPR inte bara bjuder på utmaningar utan också möjligheter. En undersökning – baserad på svar från 10 000 respondenter från Handelshögskolan i Stockholm – visar att kunderna reagerar starkt negativt på bristande dataskydd. Enbart bristande kontroll av underleverantörers användande av barnarbete fick mer negativa reaktioner i studien. Således har företag mycket att vinna på att visa sig dugliga när det gäller personuppgiftshantering.

– Persondata, personlig integritet och säkerhet är inte bara viktigt ur ett GDPR-perspektiv. Det är även viktigt för varumärket. Att drabbas av en säkerhetsincident är bland det värsta som ett företag kan råka ut för ur varumärkessynpunkt, säger hon.

Bo Andersson jobbar som it-chef och sitter med i ledningsgruppen för Marginalen Bank, som grundades 2010. Han är beställare inom ramarna för bankens förberedelser inför och omställning till den nya dataskyddsförordningen. Han vill inte kommunicera någon specifik siffra men säger att arbetet inför GDPR har varit och är omfattande på banken.

– Vi jobbar systematiskt och tar det på stort allvar. Många av kraven har funnits tidigare, men i GDPR är de mer omfattande och definitionen av personuppgifter bredare. Bevisbördan är den stora skillnaden. Vi måste framöver på ett helt annat sätt dokumentera och visa hur vi arbetar med personuppgiftshanteringen, säger han.

Utmaningen är inte bara att kalibrera organisationen inför GDPR. Det gäller också att göra det under en kort tidsplan och samtidigt som andra regelverk står på tur för att göra entré i finansbranschen, däribland betaltjänstdirektivet PSD2 och IFRS9 (EU:s nya redovisningsstandard för finansiella instrument), berättar han.

Det har blivit vardag med flera nya regelverk och vi är bättre rustade inför GDPR än andra delar av näringslivet

– Bankerna är dock vana. Det har blivit vardag med flera nya regelverk och vi är bättre rustade inför GDPR än andra delar av näringslivet, säger Bo Andersson.

Han svarar så här på frågan om det finns en fördel med att vara en mindre bank:

– Jag tror att det kan vara enklare att inte ha en stor organisation med många anställda som ska informeras eller gamla system som inte är anpassade, säger han.

Bo Andersson säger att medvetenheten kring it-säkerhetsfrågor har ökat hos gemene man de senaste åren och att GDPR troligen kommer att innebära ytterligare ett steg i den riktningen.

– Det kommer att bli än viktigare att uppfattas som professionell, säker och seriös i personuppgiftshanteringen gentemot kund, säger han och tillägger:

– GDPR har blivit brett marknadsförd och jag tror att många kunder vill testa om bolagen lever upp till kraven. Är det till exempel möjligt att få ett utdrag av personuppgifterna som finns lagrade? Då gäller det att bankerna har infrastrukturen och processen för detta på plats. Annars kan förtroendet skadas.

Mats Törnros är ansvarig för det koncernövergripande arbetet med GDPR på SEB. Deras förstudie med analys av GDPR påbörjades 2016 och våren 2017 inleddes implementeringsprojektet, vilket betyder att organisationen anpassas till regelverket. Och det handlar om hanteringen av en mängd personuppgifter som behöver överensstämma med de nya reglerna. SEB har drygt fyra miljoner privatkunder och en halv miljon företagskunder.

– Steg ett handlar om att leva upp till reglerna. Nästa steg är att fokusera på kundvärdesperspektivet i personuppgiftshanteringen. Arbetet slutar inte i maj, utan de här frågorna kommer få en mer central plats i organisationen, säger Mats Törnros.

På Swedbank arbetar Erik Cyrus som programansvarig för GDPR. Han säger att förberedelserna har inneburit ett omfattande jobb och att »ett hundratal« personer är involverade i implementeringsarbetet. Också han lyfter fram utmaningen kring att genomföra anpassningen till GDPR samtidigt som flera andra regelverk börjar att gälla nästa år.

– Vi försöker jobba så effektivt som möjligt. Jag tror att många större aktörer har en fördel i och med att vi har levt under strikta krav på hantering av personuppgifter under en lång tid, samtidigt som vi är vana vid att ta oss an komplexa regelverk.

I likhet med SEB har Swedbank organiserat arbetet genom en inledande förstudie och sedan en implementeringsfas, som just nu pågår. Under implementeringen har kraven i dataskyddsförordningen översatts till och delats in i olika så kallade arbetsströmmar/huvudområden.

Till exempel en av dessa innebär att banken genomför en inventering och analys av all data i samtliga system. Det är en arbetskrävande procedur, inte minst eftersom Swedbank har runt åtta miljoner privatkunder och drygt 600 000 företagskunder liksom 14 000 anställda. I en annan arbetsström görs en genomlysning av underleverantörsavtalen – till exempel med it-leverantörer som också hanterar bankens personuppgifter – för att säkerställa att dessa överensstämmer med kraven i GDPR.

– Alla bankens enheter och en mängd yrkesroller har involverats i processen, säger han.

Vi kan stärka vårt varumärke och locka fler kunder genom att vara professionella i personuppgiftsfrågan.

Erik Cyrus tror att GDPR, ihop med exempelvis det nya betaltjänstdirektivet, kan komma att få stor inverkan på finansbranschen. Kunderna får mer att säga till om och företagen måste i högre grad konkurrera om deras uppmärksamhet, vilket gör att kunderna kommer att få en bättre bankaffär. Samtidigt öppnar GDPR upp möjligheter för bankerna, berättar han.

– Vi kan stärka vårt varumärke och locka fler kunder genom att vara professionella i personuppgiftsfrågan.

Pavel Fröberg är program­ansvarig för GDPR på Länsförsäkringar. Deras anpassningsprojekt påbörjades 2016 med en inventering och kartläggning av personuppgifterna inom organisationen, som bland annat består av 23 lokala länsförsäkringsbolag runtom i landet plus det gemensamma dotterbolaget Länsförsäkringar AB baserat i Stockholm. Det sistnämnda har koordinerat förberedelserna inför GDPR medan de lokala bolagen i sin tur bedriver egna genomförandeprojekt. Länsförsäkringsgruppen har totalt 6 700 anställda och 3,7 miljoner kunder, vilket ger en fingervisning om mängden information som har tröskats igenom. Pavel Fröberg har ingen siffra på hur många personer som har varit inblandade i anpassningsprojektet, men säger att nästan alla i organisationen har berörts på något sätt.

– Varje personuppgiftshantering har stämts av mot kraven i förordningen. Det handlar om mycket ostrukturerad data i till exempel e-post som definieras som personuppgifter. Det har varit ett stort men nödvändigt jobb, säger han.

Att finansbranschen jobbar hårt inför GDPR verkar uppenbart. Det som inte är lika uppenbart är hur bankerna och försäkringsbolagen (liksom deras kunder) kommer att påverkas av den nya dataskyddsförordningen. Inom de närmaste åren har vi troligen fått svaret.