Jag arbetar från NORIANS kontor i Hannover i norra Tyskland och är ansvarig för ”compliance” för hela NORIAN-koncernen, oberoende land.
Vad handlar ”compliance” om? Det innebär att företaget följer gällande lagar och regler, både landsspecifika och EU-lagar, samt andra krav från myndigheter och företagsinterna riktlinjer och policyer. Ett exempel på detta är den allmänna dataskyddsförordningen (”DPA”).
Compliance är viktigt för oss på NORIAN. När företag inte följer regler och lagar blir det konsekvenser vilket kan kosta företag mycket pengar samt att det självklart även får en negativ påverkan på företagets rykte.
Jag anser att ”compliance” ska vara en ”affärsöppnare” och inte ett område som ger "dödande argument" till varför saker inte är möjliga - ingen vill ses som en bromskloss!
Att arbeta inom detta område är inte alltid så lätt då det är ett komplext ramverk av lagar att ta hänsyn till. Jag måste dessutom kunna kommunicera på ett begripligt sätt så att alla i vår verksamhet förstår mig och aktuella lagar. För mig är det viktigt att vara behjälplig när kollegor kontaktar mig för att få hjälp med sina frågor och framför allt att de ser mig som en möjliggörare och inte drar sig för att kontakta mig.
Självklart måste dock kollegorna förstå min roll och att allt inte är möjligt samt att vi måste följa vissa regler för att uppnå vårt huvudmål. Det vill säga att skydda vår verksamhet inklusive anställda och våra kunder mot alla risker och faror som lurar runt hörnet.
GDPR "firar" fem år!
När GDPR trädde i kraft 2018 blev många företag rädda för det byråkratiska "monstret" som skulle komma att kosta mycket pengar utan att ge ett ökat värde åt deras verksamhet.
Nu har det gått fem år sedan dess och vi kan se resultatet av den då introducerade ”TO BE”-modellen innehållande enhetliga, förståeliga och praktiska dataskyddsregler. Vi kan idag konstatera att det fortfarande finns visst utrymme för förbättringar och att dessa till största del beror på olika tolkningar av GDPR på myndighets- och domstolsnivå.
På NORIAN har vi goda förutsättningar att optimera processen med GDPR då alla länder vi finns lokaliserade i har liknande regelverk gällande integritet. Detta att jämföra med skatte- eller redovisningslagar för samma länder, där vi ser att det kan skilja sig betydligt mer mellan länderna.
Självklart har vi nyttjat möjligheten att arbeta enhetligt med GDPR inom hela NORIAN-koncernen vilken gett oss möjlighet att definiera vår process och rutin på gemensamt sätt. Liksom oss är många av våra kunder globala och jag ser att detta har resulterat i en säkrare och tryggare hantering av personuppgifter inom vår koncern.
”The power” med GDPR
År 2018 var det inte lätt att förutse exakt hur digitaliseringen skulle komma att förändra arbetssätt och samtidigt också komma att bli ett potentiellt hot för företag. Med GDPR har medvetenheten om personuppgifter och dess skydd ökat markant. Denna medvetenhet hjälper oss också att förstå de ökade yttre riskerna vi står inför varje dag.
Att företag riskerar påföljder och enorma viten när inte GDPR efterlevs har även gjort företag extra medvetna om integritet och allvaret med att göra rätt och följa lagen. Det upplevs även än viktigare när vår värld blir alltmer digital.
Liksom för oss på NORIAN, kan GDPR vara en möjlighet för att implementera standardiserat ramverk och processer för företag som verkar över gränserna i EU samt EES och därmed säkra koncernen hantering av integritet och säkerhet.
Konkurrensfördel
Förutom att vara "ett måste" där vi ska följa lagen, ser jag också GDPR som en konkurrensfördel. Med ett tydligt ramverk minskas risken både för NORIAN och våra anställda samt att våra kunder får en trygg kundupplevelse, vilket leder till att våra kunder har ett fortsatt stort förtroende för oss.
Med nödvändig struktur och en skyddad miljö, mot interna och externa hot, säkerställer företag att data inte kan stjälas eller raderas av misstag. Ingen vill att sina personuppgifter hanteras oförsiktigt med risker att hamna i fel händer.
Ökad risk för bedrägerier i verksamheten
”Lagen om åtgärder mot penningtvätt och finansiering av terrorism” är ytterligare en lag som hjälper företag att minska risken för interna och externa bedrägeriförsök. Dessutom påvisar även lagen vilka skyldighet företag som säljer bokföringstjänster har och att de omgående ska underrätta myndigheter vid eventuell misstänkt transaktion.
Även om denna lag, i motsats till GDPR, implementerats som en lag på landsnivå har koncerner liknande nytta när de implementerar direktivet, såsom NORIAN gjort, dvs som ett övergripande ramverk. Vi följer de strängaste kraven i respektive länder som minimistandard. Allt för att öka möjlighet till att fånga bedrägeriförsöken!
Tips till företag
- Företag bör definiera ”top-down” policyer och riktlinjer för att understryka vikten av dem. Den högsta ledningen har det övergripande ansvaret och det är viktigt att de tar ansvaret och visar engagemang i frågan.
- Företag bör implementera en effektiv GDPR incidentrapporteringsprocess för att försäkra sig om att företaget kommer att lyckas hålla de korta tidsfristerna som GDPR kräver. Alla medarbetare ska ha god insikt i hur processen fungerar och självklart, följa den.
- Medvetenhet är en färskvara. Alla anställda måste introduceras för GDPR, penningtvättslagen och företagets process redan vid ”onboarding”. Därefter måste alla anställda kontinuerligt utbildas, dels för att bibehålla medvetenheten samt för att ta del av eventuella uppdateringar. Inget företag har råd att slarva!
- Transparens kring dataincidenter och intrång är ett måste. Att rapportera fel och misstag till kunder är självklart ingen positiv upplevelse men det måste göras och i slutändan skapar transparens och ärlighet förtroende gentemot kunderna.
- En väl dokumenterad process innefattande årshjul för genomföranden av regelbundna kontroller säkerställer att ni som företag är ”compliant”.
