Se affärsfördelarna med GDPR!

Att nöja sig med en miniminivå för att slippa böter är ingen vettig strategi när det gäller att möta GDPR-kraven. Det säger Oliver Penel, GDPR-expert på SAS Institute som var en av talarna på SAS Analytics Experience i Amsterdam nyligen.

Nej GDPR är mer än bara en uppgradering av PUL eller någon av de andra nationella regelverken kring datasäkerhet. GDPR bör tas på allvar, men det gäller att inte tappa huvudet trots att det börjar bli bråttom.

– Se GDPR som en katalysator för att förbättra företagets affärsmodell och göra kunderna nöjdare, säger han.

Han lyfter fram fördelen med att GDPR kommer att gälla inom hela EU:

– Det gör det lättare att göra affärer över gränserna eftersom företagen inte behöver anpassa sig efter nationella lagar, säger han och framhåller att detta kommer att spara företagen i storleksordningen 2 miljarder euro per år.

Företag som sköter GDPR på rätt sätt kommer att att vinna konkurrensfördelar. För egentligen handlar det ju om att skydda sitt företag och sina kunder mot kostsamma intrång.

– Intrången kostar inte bara stora pengar genom att företagen blir av med tillgångar och kanske måste betala böter, den största skadan består i minskat förtroende hos kunderna, säger Oliver Penel.

Ett gott exempel bjöd Nikos Maroulianakis på. Han är vd för det grekiska försäkringsbolaget Interamerican, som är Greklands största med 1,1 miljoner kunder. Det är över 10 procent av befolkningen.

–Inom vårt bolag har vi från början betraktat GDPR som en enorm möjlighet att på ett mycket systematiskt sätt ta kontroll över datahanteringen, säger han, innan han noggrant går igenom vilka åtgärder företaget vidtagit: Hur man spårat upp vilka data som finns, kategoriserat vilka data som som behövs, och skapat system som gör det lätt att rensa bort inaktuell data, och lyfta fram all data om kunden vill flytta till en annan aktör eller få sina data raderade ur systemen.

Nikos Maroulianakis framhåller att hela organisationen måste vara medveten om vad GDPR innebär och att man också måste säkerställa att leverantörer och partners hanterar data korrekt.

På Interamerican startade man processen tidigt och uppfyller redan i dag de krav som kommer att ställas den 25 maj 2018. Men han vill inte säga att bolaget är ”i mål”

–Nej,nej det kan man inte säga. Det här är ett jobb som hela tiden måste utvecklas och fortgå.

Ett försäkringsbolag  hanterar massor av känslig information, och vi måste hela tiden bli bättre på att skydda och hantera datan så att kunderna kan känna sig trygga. Omvärlden ändras hela tiden, och de som vill komma åt känslig data utvecklar ju hela tiden sina metoder, säger han.

Den stora fördelen med att ligga i framkant och inte sega med GDPR-arbetet är att det har ökat kundernas förtroende för Interamerican. Bolaget har snabbt tagit marknadsandelar.

Han menar också att det gäller att se framåt: bolaget behöver hela tiden utveckla sina tjänster, och då måste det finnas bra struktur för att samla in och hålla  koll på data som man i dag inte ens har tänkt på att man kommer att behöva.

Åtta bra saker att veta om GDPR

EU:s nya datasäkerhetsdirektiv som träder i kraft den 25 maj 2018 påverkar alla företag på många sätt.

1.Det är en lag som gäller i hela EU, ett steg  mot en digital inre marknad.Tidigare har datasäkerhetslagar varit nationella. Sverige som haft en ganska beskedlig lag, PUL, får betydligt tuffare regler. Irland som haft ännu svagare regler och därigenom lockat Facebook att etablera sig där hamnar i bryderi.

2. Kunden äger datan. GDPR vänder logiken kring datainsamlande och dataanvändning heltom. Hittills har utgångspunkten för datainsamlandet varit att det är organisationen, exempelvis en detaljhandelskedja eller en bank som samlar datan för sina egna behov. Det gör att kunden kan kapitalisera på sin data för att få erbjudanden.

3.GDPR innebär att den som samlar in data ska vara mycket tydlig med varför datan sparas, och man får inte spara data i onödan. Företaget eller organisationen måste också inhämta samtycke för att samla in data från kunderna.

4. Kunden har rätt att bli ”glömd”. Om kunden så begär ska alla data kunna hittas, raderas eller flyttas till annan aktör.

5. GDPR gäller retroaktivt. Det gör att det blir nödvändigt att rensa och sätta upp system som skyddar data. Data som har sparats för att de kan vara ”bra att ha” behöver städas ut.

6. Intrång i systemen måste anmälas senast 72 timmar efter upptäckt.

7. GDPR är inte en angelägenhet enbart för IT-avdelningen, eller företagsledningen utan medvetenheten om vad som gäller och nya rutiner måste genomsyra hela företaget – från, ledning till golv

8. GDPR ger chans att bygga förtroende. Att visa kunderna att man hanterar personuppgifter på ett ansvarsfullt sätt kommer att ge konkurrensfördelar – medan de som inte når upp till kraven tar stora risker, inte bara för att få kraftiga böter, men också för att kundernas förtroende kan svikta.