JØP: "Efter den 25. maj er der sommerferie"

”Før 25/5 2018 har vi skullet opføre os ordentligt og ansvarligt i forhold til, hvordan vi håndterer persondata, og det skal vi også efter den 25/5.”

Sådan lyder det fra Mads Stougaard, CFO i JØP (Juristernes og Økonomernes Pensionskasse).

Den 25. maj træder EU’s nye persondata-forordning (GDPR) i kraft. Forordningen – der er omsat til dansk lov i den såkaldte databeskyttelseslov – fastsætter, hvordan virksomheder, myndigheder og andre organisationer skal beskytte de personoplysninger, de har om fx kunder, borgere, klienter eller medlemmer.

Men selv om JØP langt hen ad vejen har haft styr på deres persondata, har det seneste halve år og især de seneste måneder kostet fokus og arbejdstid for en række medarbejderne. 8-9 ansatte, svarende til 10 procent af medarbejderstaben i JØP, har arbejdet med GDPR det seneste halve år. Og især projektlederen, husjuristen og Mads Stougaards arbejdsdage har stået i GDPR’s tegn.

Har det været en stor opgave at finde ud af, hvad I egentlig skulle leve op til?

”Det har været et hårdt detektivarbejde at læse forordningen og de vejledninger, der er kommet drypvis fra Datatilsynet, og finde ud af, hvilke opgaver der skulle på vores projektliste. Men som udgangspunkt bliver verden ikke meget anderledes efter den 25. maj, men vi skal måske være lidt bedre til at dokumentere det, vi gør, når vi arbejder med persondata.”

Hvordan så I opgaven i starten – og har den ændret sig undervejs?

”Vi gik nok til opgaven med den tro, at vi skulle lave flere ting om, end vi skulle. På de store linjer har vi været hjulpet af, hvordan vi har gjort tingene historisk. Og vi har konstateret, at når det gælder alt det, der ’kører i motorvejssporene’ – altså vores slagne forretningsgange – så har vi ikke skullet lave ret mange tilpasninger. Det er mere, når vi kører på sidevejene – der, hvor der er flere manuelle processer involveret – at vi fremover skal være mere stringente i den måde, vi gør tingene på.”

Hvordan?

”Ved at vi nu har ét fælles sted, som de enkelte afdelinger benytter, når de laver manuelt arbejde, hvor der indgår persondata. Det betyder, at vi også kun har ét sted at kigge, hvis noget skal slettes, eller hvis der skal ryddes op i noget.”

Hvilke profiler har I haft brug for?

”Jeg er selv økonom, så det er klart, at det er rigtig rart at have en jurist med på banen. Vi har en intern jurist, der har været med på projektet – men vi har også haft eksterne juridiske eksperter på, når vi har ønsket at få vores fortolkning af reglerne trykprøvet.”

Er I i mål nu?

”Det er et supergodt spørgsmål. Vi kommer nok aldrig rigtig i mål, for det er jo et løbende fokuspunkt, hvordan vi behandler de her persondata. Men vi er rigtig godt med, så jeg vil ikke være bekymret, hvis vi får besøg af Datatilsynet den 26. maj.”

Hvor meget af din tid går med det her?

”Lige p.t. er det en ret stor del. Vi har en fuldtidsprojektansvarlig, og de seneste måneder har vores interne jurist og jeg arbejdet næsten fuld tid på det.”

Og efter den 25. maj?

”Så er der sommerferie. Haha. Nej, så kommer der nye krav til, hvordan vi implementerer nye produkter, og derfor skal vi være klar med en analyse af, hvad det betyder på persondataområdet. Så arbejdet fortsætter, men forhåbentlig og formentlig ikke på samme niveau som nu.”