För rederiet Viking Line, som jobbar intensivt med kundkontakter, är GDPR, EU:s nya dataskyddsförordning som ersätter PUL den 25 maj 2018, en stor och viktig fråga. Förarbetet för att bli "compliant" inledddes redan i maj förra året, på initiativ av cio René Engman.

Idag är det en projekt­ledare från it som håller i kartläggningen på systemnivå, medan Viking Lines jurister gör de analytiska bedömningarna. Men René Engman är fortsatt den som håller i trådarna.

– Som cio har jag ett övergripande ansvar för både den it-tekniska infrastrukturen och för den information som hanteras. Så jag sitter med i uppföljningsmötena med våra jurister och vet vad som är nästa steg, säger han.

Huvudfokus i GDPR-projektet på Viking Line är just nu att inventera alla system, för att se var personuppgifter finns lagrade, vilken typ av uppgifter det rör sig om och huruvida man har laglig grund för att spara uppgifterna.

Läs också: Ständigt nya utmaningar för Viking Lines cio

I arbetet ingår att se över vilken information som finns lagrad internt, respektive hos leverantörer som sourcade lösningar eller i molnet, berättar René Engman.

– För alla personuppgifter som lagras hos leverantörer måste vi teckna speciella biträdesavtal, säger han.

Rene Engman, cio, Viking Line
Cio René Engman drog själv igång compliance-arbetet inför GDPR på Viking Line.

För att klara de framtida GDPR-kraven krävs vissa anpassningar av infrastruktur och flöden. Exempelvis måste man klara av att rapportera in eventuella dataintrång inom loppet av 72 timmar, vilket René Engmans kollegor är i full färd med att säkerställa.

– Det vi tittar på är vilka verktyg och processer vi behöver för att övervaka informationshanteringen, säger René Engman.

– Man kan ju ha lite olika inställning här. Antingen har man så dålig övervakning att man inte märker något, och då slipper man rapportera! Eller så har man bra verktyg som upptäcker intrångsförsök – men då måste man också ha processer för rapportering. Vår ambition är förstås det senare.

Antingen har man så dålig övervakning att man inte märker något, och då slipper man rapportera! Eller så har man bra verktyg – men då måste man också ha processer för rapportering.

Ett stort och viktigt arbete blir att uppdatera alla de dokument, system och flöden som kunderna, det vill säga resenärerna, möter – så att de enkelt kan ge sitt samtycke till att deras data lagras. Eller inte.

En stor del av den information Viking Line samlar in kräver samtycke redan idag, enligt PUL. Men med GDPR blir det hårdare. Tydligast gäller det kundinformation som är knuten till lojalitetsprogram. Men också vanlig bokningsinformation omfattas.

Läs också: It-juristens checklista: Det här krävs för att leva upp till EU:s dataskyddsförordning

– En annan intressant fråga rör rätten till portabilitet, att man ska ha möjlighet att flytta sin information. Det är säkert jättebra om man vill flytta från Facebook till Google Plus. Men det känns ju inte så relevant i vår värld.

Även om GDPR innebär extra arbete finns det också mycket positivt med att gå igenom sin information, tycker René Engman.

– Vi måste ha klart för oss vilken som är vår lagliga grund för att spara personuppgifter.

– Vi måste också fundera på hur länge vi måste spara den information vi har i våra system. Varför ska vi spara den så länge? Jag tror att det är många som spar onödigt mycket in­formation, onödigt länge, slår han fast.

René Engman förväntar sig att GDPR får stort genomslag i maj 2018 när den införs.

– Jag tror att medierna kommer att skriva om det och att många kunder kommer att vilja ha utdrag av sina personuppgifter. Det lär komma en peak av förfrågningar som vi måste klara av då, och som sedan mattas av.

Vad blir den största utmaningen?

– Gallringsrutinerna! Det handlar ju om många system som köpts in från flera leverantörer, som inte innehåller fullständiga gallringsrutiner. Det lär vi och de flesta få jobba med i många år. Men enligt våra juridiska rådgivare så är det centrala att vi har en bra kartläggning och en bra plan för hur vi ska ta oss till nästa steg. Det är det vi satsar på.

Kommer ni att hinna klart i tid?

– Vi kommer nog att ligga bättre till än många andra. Vi kommer att ha en bra kartläggning av situationen, en bra juridisk bedömning av varför vi spar data, en bra övervakning över hur data flödar och bra juridiska avtal. Men när är man egentligen klar? Det är ju en pågående process.

Vad tycker du om de höga vitena?

– Det måste ju vara rim och reson. Data­inspektionen måste ju se till vilka insatser som organisationen gjort för att anpassa sig. Jag tror nog att det kommer att finnas sunt förnuft även i de här bedömningarna.

Fakta

1. Ta grepp om informationen – identifiera alla system som innehåller persondata.

2. Gör en juridisk bedömning – vad är den legala grundeen till att spara alla data?

3. Anpassa monitoreringen så att du kan upptäcka och rapporter om eventuella intrång inom 72 timmar.