Eiendomsbransjen er spekket av dokumenter og prosesser der personopplysninger deles. Den kompliserte GDPR-loven er derfor høyaktuell for denne bransjen. Det fikk Inger-Anne Hem-Andersen, Markeds- og Administrasjonsansvarlig i Hjertnes Eiendom, føle på kroppen.
Hjertnes Eiendom eier, utvikler og forvalter bolig- og næringseiendom. De jobber med utvikling av flere spennende eiendomsprosjekter. I møte med kjøpere, leietakere og sameier, dukker det opp dokumenter og prosesser der personopplysninger deles. Alt av opplysninger, slik som navn, personnummer og e-post, oppgis av kunden.
GDPR-loven er dermed høyaktuell for Hjertnes Eiendom. Selv om loven kom for fem år siden, har regelverket vært komplisert og vanskelig å forstå fullt ut for de fleste. En uvisshet lå over selskapet. Ingen var helt sikre på om de overholdt Datatilsynets nye regelverk til punkt og prikke.
De siste årene har Datatilsynet begynt å håndheve loven i høyere grad. Det er ikke bare de store som har fått smekk på fingrene. Også mindre og mellomstore bedrifter har måttet betale bøter på flere hundre tusen kroner. Du gjør lurt i å følge denne loven, men hvordan gjør du egentlig det, når den er så komplisert?
Mangel på system for rutiner
Hjertnes Eiendom var bevisste på å ha rutiner. Tross rutinene, var det noen forskjeller i hvordan personvernet ble håndtert. Det fantes ulike måter å motta slik informasjon på.
For eksempel ble første del av personnummeret noen ganger skrevet på e-post, mens del to ble skrevet på en rød lapp. Når personnummeret var registrert, ble lappen kastet bort. Det var på ingen måte en optimal løsning.
- Datatilsynet og GDPR-loven bruker mange store ord. Det var vanskelig å sette seg inn i alt sammen. Det var mye å grave opp i. Arbeidet tok opp mye kapasitet. Selv etter all innsatsen, var en ikke helt sikker på om en hadde gjort alt riktig, forteller Inger-Anne.
Les mer: Slik får du endelig kontroll på GDPR
En sikker personvernrådgiver fjernet uvissheten
Løsningen kom da Inger-Anne møtte en tidligere kollega på frokostsamling i Sandefjord Næringsforening. Under en typisk jobbprat dukket emnet GDPR opp. Birte Svenssen, nå i Adminkit, foreslo at Hjertnes Eiendom burde ta en uforpliktende prat med vår GDPR-ekspert. Personvernrådgiveren vår, Tom Bulow-Kristiansen, har vært en reddende engel for mange SMB-bedrifter.
Det første grepet i Hjertnes Eiendom, var at Tom gikk gjennom GDPR-reglene med nøkkelpersoner i selskapet. De snakket om hvordan den enkelte håndterte personopplysninger og hvilke rutiner de hadde. Inger-Anne beskriver prosessen som grundig. Et møte på en snau time fjernet uvissheten blant de ansatte.
- Tom samlet nøkkelpersonene i bedriften og ledet oss gjennom med spørsmål om rutiner. Det gjorde at vi ble bevisste på hvordan den enkelte gjør ting. Vi hadde gode rutiner, men forsto at det måtte noen små endringer på plass.
En personvernerklæring alle kan forstå
Med en oppdatert protokoll over alle aktiviteter og programmer som omfatter personopplysninger, ble en ny og korrekt personvernerklæring ferdigstilt. Den var ikke på 14 sider som tidligere, men heller på én enkelt side. Språket var lettfattelig. Det gjorde at de ansatte også fikk eierskap til dokumentet.
I personvernerklæringen ble det vist til de spesifikke lovene. Det gjorde at de ansatte alltid hadde stålkontroll på hvorfor de gjorde som de gjorde. Dialogen var god hele veien, og trygghet ble en viktig faktor. Tom var tilgjengelig som rådgiver ved behov.
- Det hele ble en kort og smidig prosess der vi følte oss ivaretatt. Tom forsikret oss om at det bare var å ringe dersom vi lurte på noe. Den gode dialogen var viktig for å gi oss trygghet.
Les mer: Få bedre kontroll på personvernet
Enkelhet i hele prosessen
Inger-Anne gruet seg til GDPR-arbeidet. Da hun kom inn som nyansatt i oktober i fjor, sto GDPR øverst på listen over arbeidsoppgaver, uten at hun helt visste hvordan hun skulle takle det. GDPR-lovens komplekse regelverk var nærmest angstskapende. Men da de kom i gang sammen med Tom, gikk det relativt lett!
- Enkelhet er viktig. Jeg gruet meg, men personvernrådgiveren i Adminkit forklarte ting på en enkel måte. Det gjorde at jeg kunne senke skuldrene. GDPR var ikke så vanskelig som jeg trodde før vi startet prosessen.
