Avanzas resa med GDPR
På Avanza vill vi att våra kunder ska känna sig trygga oavsett vilka regler som styr verksamheten. EU:s dataskyddsförordning GDPR började tillämpas våren 2018, men för Avanza började resan redan 2016 när förordningen fastställdes. För vår del handlar förordningen om våra kunders ökade rättigheter när det gäller deras personuppgifter och våra skyldigheter kring hanteringen av dessa. Vi ser positivt på GDPR, då förordningen skyddar våra kunder.
Avanza startades med en enkel idé – vi ville bygga ett företag där vi själva skulle vilja vara kunder. Vår affär bygger på ett starkt kundfokus och visionen är att skapa en bättre framtid för miljoner människor, genom ett billigare, bättre och enklare erbjudande. Vi vill engagera och skapa förståelse för sparande genom utbildning, information och enkla beslutsstöd. Vi vill samtidigt uppmuntra och inspirera till ett hållbart sparande. Ambitionen är att skapa det bästa verktyget för våra kunder för att lyckas med ekonomin. Avanza har mer än 1 miljon kunder med över 400 miljarder kronor i totalt sparkapital. Det motsvarar 4,4 procent av den svenska sparmarknaden. Förra året vann Avanza Svenskt kvalitetsindex (SKI) utmärkelse Sveriges nöjdaste sparkunder för tionde året i rad samt blev årets bank för andra gången.
Utmaningarna dök upp tidigt i analysfasen och gällde tolkningen av artiklarna i förordningen. Vi arbetade tillsammans inom Avanza, men även inom branschen för att komma fram till gemensamma tolkningar och en gemensam förståelse av innebörden, för att få en så bra start som möjligt. Detta arbete var viktigt och tog tid. Utfallet av tolkningarna kom senare att ligga till grund för beslut om de åtgärder som skulle implementeras i koncernen. Här underlättade det verkligen att vi hade en gemensam förståelse från början. Parallellt med detta genomförde vi en kartläggning av väsentliga delar som behövde komma på plats, så att vi tidigt kunde resursplanera vilken kapacitet som behövdes under projektet.
Analysarbetet kokade ned till fyra övergripande områden som vi behövde arbeta vidare med: ”kundens rättigheter”, ”incidentrapportering”, ”utbildning” och ”skydd av uppgifter”.
Kundens rättigheter innebär att kunden ska ha möjlighet att, få information om vilka personuppgifter vi behandlar, begära rättelse eller radering av uppgifterna, eller begränsning av behandlingen, samt kunna invända mot behandlingen. Utöver allt detta ska det finnas möjlighet att föra över personuppgifter till ett annat företag. Dessa krav har funnits i tidigare lagstiftning så här handlade det primärt om att säkerställa att vi kunde leva upp till samtliga delar och fastställa på vilket sätt det skulle göras.
För att möta kraven utvecklade vi ett verktyg där kunderna själva kan se och hantera sina uppgifter, via Avanzas digitala plattform, utan att behöva kontakta vår kundservice. Det var viktigt för oss ur ett kundperspektiv samtidigt som vi byggde en skalbar lösning som inte riskerade att skapa en belastning på organisationen i takt med att vi växer. Redan första året hade vi tusentals nedladdningar av personuppgifter via vår digitala plattform. Kundens rättigheter omfattar även information om hur Avanza använder personuppgifterna. Här eftersträvar vi att alltid ha transparent lättförståelig information på vår hemsida.
Incidentrapporteringen syftar till en skyndsam hantering om olyckan skulle vara framme och ett misstag från vår sida begås i personuppgiftshanteringen. Den ska säkerställa en grundlig analys om vilken eventuell påverkan incidenten kan få för kunderna och vilka åtgärder som behöver vidtas. Incidentrapportering var redan etablerat hos oss, men för att uppfylla specifika krav i förordningen genomfördes vissa justeringar i hur vi internt skulle hantera incidenter och på vilket sätt rapporteringen skulle ske.
Utbildning och tydlig intern information har alltid varit viktigt för oss i syfte att skapa förståelse och engagemang hos våra medarbetare. Här har vi arbetat med att utveckla anpassade utbildningspaket för vår personal i syfte att öka kunskapen om GDPR och de krav som ställs på oss. Den ökade kunskapen utbildningarna har fört med sig, har också underlättat vårt utvecklingsarbete och skapat bra förutsättningar för alla som berörs.
Skydd av uppgifter var det område som fick störst påverkan på oss då regelverket ställer stora krav på inventering, lagring och transport av information samt principer för hur länge uppgifterna behöver lagras och vilka leverantörer som har tillgång till personuppgifterna (där vi behövde se över och förnya våra avtal). För att framtidssäkra vår regelefterlevnad krävdes att vi anpassade våra processer för utveckling och inköp av system, något som omfattade samtliga applikationer i Avanzas digitala plattform och påverkade hela vår it- och utvecklingsorganisation.
Tillgång till information är ett centralt område i GDPR. Här gäller det att varje medarbetare endast har tillgång till den information denne behöver utifrån sina arbetsuppgifter och inte har för vida behörigheter.
Eftersom vi har en omfattande hantering av personuppgifter omfattades vi också av kravet att tillsätta ett dataskyddsombud (DSO). Rollen tillsattes tidigt under 2017 och jag fick nöjet att axla den. I rollen som DSO var jag beställare av GDPR-projektet. På så sätt fick jag tidigt en djup förståelse för hur Avanza byggde upp sin hantering kring dataskyddsfrågor, vilket gav mig en heltäckande bild av våra styrkor och svagheter. I rollen, som både omfattar rådgivning och granskning av efterlevnaden, kunde jag vägleda företaget under resan.
När jag blickar tillbaka och ser vad vi kunnat göra annorlunda så är det främst två områden jag kommer att tänka på. Den första är förändringen i ett av våra inloggningsförfaranden. Den förändring vi införde gjorde det säkrare för kunderna, men den innebar också att våra kunder behövde logga in med hjälp av tvåfaktorsidentifiering vilket vissa av våra kunder upplevde som störande. Det i sin tur genererade en ökad belastning på vår kundservice. I backspegeln skulle vi ha infört förändringen under en längre tidsperiod så att alla involverade fick mer tid att anpassa sig till de nya förutsättningarna.
Det andra området är avtalsrelationer med leverantörer och samarbetspartner. I förordningen är det väldigt enkelt, nämligen att det är vi som ska upprätta avtal med leverantörer och samarbetspartner som behandlar personuppgifter för vår räkning. Detta fanns redan på plats genom tidigare lagstiftning, men i och med GDPR blev ansvaret för berörda parter större. Detta ledde till en omarbetning av avtalen, vilket tog lång tid och i vissa fall skapade komplikationer som vi inte hade räknat med.
Nu när två år har passerat sker den faktiska tillämpningen runt om i världen på riktigt. Dataskyddsmyndigheter genomför granskningar och utfärdar varningar och sanktioner. Granskningarna och sanktionsskrivelserna visar hur dataskyddsmyndigheter tolkar förordningen, vilket ger ytterligare insikter och möjliggör för oss att se över och eventuellt ändra vår hantering.
Idag arbetar vi liksom tidigare med kunden i fokus, men med en rad nya arbetssätt, rutiner och processer. Vi ser regelbundet över hur vi kan göra det ännu enklare för våra medarbetare och kunder, i allt från vägledning till nya verktyg, information och utbildningsinsatser.
Om jag ska blicka framåt tror jag att GDPR alltid kommer att handla om att i första hand skydda kundens rättigheter och i andra hand om att ha förmågan att upptäcka och hantera brister i den egna verksamheten. I takt med att nya tolkningar och tillämpningar genomförs blir omvärldsbevakningen en naturlig del för att säkerställa att vi uppfyller kraven även i framtiden.
Sammanfattningsvis har på ytan inte så mycket förändras efter GDPR. Det kan bero på att vi inte genomförde några större organisatoriska förändringar utan skapade möjligheter för alla medarbetare att anpassa sig till de nya förutsättningarna i sina befintliga roller. Vi är stolta över vår implementering. Förhoppningen är att även våra kunder uppskattar det vi gjort och känner sig trygga med att vi hanterar deras uppgifter på ett tryggt sätt med stor integritet.
JOHAN DRESSLER
Mitt namn är Johan Dressler och jag är dataskyddsombud på Avanza. 2017 utbildade jag mig inom dataskyddsförordningen och dataskyddsfrågor och är nu certifierad på området. Jag har arbetat på Avanza sedan 2011 där jag primärt har arbetat med informationssäkerhet, incidenthantering, riskhantering och kontinuitetshantering. Denna artikel är min berättelse om hur vi har hanterat GDPR från 2016 fram till idag.