Kundintegritet

Enorma mängder data skapas när våra kunder använder våra tjänster och nät. Kundintegritet blir allt viktigare i och med ökade förväntningar från kunder och skärpt lagstiftning.

Strategiskt mål

2018 mål

2016 utfall

  • Respektera och skydda våra kunders integritet.
  • Vi ses som en trovärdig aktör i hanteringen av persondata på kundens villkor.
  • “Privacy by design” är implementerat i alla relevanta projektprocesser.
  • Samtliga medarbetare är medvetna om integritetskraven för sin tjänst.
  • Tydlig, lättbegriplig och lättillgänglig
    information till kunden om hur persondata hanteras.
  • Minska riskerna kopplade till efterlevnaden av EU:s dataskyddsförordning (General Data Protection Regulation, GDPR).
  • Process för konsekvensbedömning av kundintegritet implementerad i Telia Company:s projektmodell.
  • Koncerngemensam modell för upplysning om hantering av kunddata (“Privacy Notice”) togs fram.
  • Lokala gapanalyser mot GDPR genomförda och handlingsplaner framtagna för att minska riskerna i regionerna Sverige och Europa.
  • Stärkt styrning och utökade resurser för att möta kraven i GDPR.

EU:s dataskyddsförordning (GDPR) antogs i april och träder i kraft i maj 2018. De nya kraven kommer att ha en fundamental påverkan på vår bransch då mängden personlig data som hanteras ökar exponentiellt, molnbaserade tjänster och gränsöverskridande dataöverföring blir allt vanligare, hotbilden förändras kontinuerligt och kundernas tillit är en avgörande faktor i vår verksamhet.

I ljuset av de senaste årens utveckling har integritet hamnat alltmer i fokus ur ett samhälleligt, operatörs- och kundperspektiv. Vi ser att hanteringen av risker kopplade till kundintegritet kommer att bli allt viktigare i takt med ökade förväntningar från kunder och skärpt lagstiftning inom EU och på andra marknader. Dessutom kan området medföra nya affärsmöjligheter.

STYRNING

Vårt arbete styrs av koncernens kundintegritetspolicy som anger principer för insamling, bearbetning och lagring av persondata samt kunders rättigheter. Åtgärder för att säkerställa sekretessen och integriteten av kunders persondata definieras i koncernens säkerhetspolicy. Dessutom ställer GDPR ytterligare krav.

Koncernövergripande styrning av arbetet med efterlevnad och riskhantering gällande GDPR leds av en styrgrupp som leds av Telia Company:s Chief Operating Officer. Detta säkrar kontroll och översyn på koncernnivå över riskhanteringen kopplat till GDPR.

Lokala bolag och koncernfunktioner är ansvariga för att säkerställa riskhantering och efterlevnad kopplat till GDPR. Arbetet leds av kundintegritetsansvariga i respektive bolag och koncernfunktion. Resultatet av arbetet rapporteras regelbundet vid lokala och regionala GREC-möten och till koncernledningen.

Koncernens kundintegritetsteam, som leds av koncernens kundintegritetsansvarig, säkerställer samordnad tolkning och vägledning kring GDPR till lokala bolag, kontroll-erar riskhanteringen, genomför granskningar samt leder och följer noggrant upp implementering. Dessutom finns externa resurser till stöd för utvecklingen av processer, it-arkitektur och säkerhetsåtgärder så att dessa är i linje med GDPR:s krav.

ARBETET UNDER ÅRET

Gapanalyser och riskhantering kopplat till GDPR

Under 2016 var förberedelserna för GDPR-implementering i fokus. Inledande gapanalyser gjordes av lokala ansvariga för kundintegritet i regionerna Sverige och Europa, samt på koncernnivå. Fokus låg på att identifiera aktiviteter för att säkerställa implementeringen av kraven och riskhantering i tid. Tolkningar av de nya kraven togs fram på koncernnivå och samtliga kundintegritetsansvariga utbildades i dessa. En särskild kartläggning av data genomfördes för att förbättra informations- och leverantörshantering, samt att ta fram en översikt av aktiviteter inom databearbetning.

Integrering av konsekvensbedömning
för kundintegritet

“Privacy by design” – att ta hänsyn till integritetsaspekter på tidigast möjliga stadium i projekt, aktiviteter och produktutveckling – är en av huvudprinciperna i Telia Company:s kundintegritetspolicy. Metoden för konsekvensbedömning av kundintegritet underlättar ”privacy by design” genom att proaktivt och i tidigt skede säkra att målbilden för ett projekt eller initiativ lever upp till lagar och interna krav.

Processen för konsekvensbedömning av kundintegritet integrerades som ett obligatoriskt steg i Telia Company:s övergripande projektmodell. Projektledare utbildades även i metodens krav.

Transparens kring databearbetning

För att öka transparensen och säkerställa en enhetlig standard kring insamling och användning av persondata infördes en koncerngemensam modell för upplysning om hantering av kunddata, ”privacy notice”. Modellen innehåller information om, exempelvis, anledningarna till bearbetning av persondata och vilka rättigheter kunden har. Flera lokala modeller för kundintegritet i regionerna Sverige och Europa anpassades till den koncerngemensamma modellen.

PLANERAT ARBETE 2017

Under 2017 kommer vi att fokusera på riskhanteringsaktiviteter kopplat till GDPR, enligt handlingsplaner på lokal- och koncernnivå. Dessa inkluderar förändringar i it-miljön samt av processer och rutiner för databearbetning, liksom aktiviteter för att kontinuerligt öka medvetenheten och stärka styrningen kopplat till kundintegritet. Relevanta koncernpolicyer och riktlinjer kommer att uppdateras och anpassas till de nya kraven i GDPR.

case

Telia i Norge utvecklar ”förtroende som tjänst”

GDPR är den största förändringen av den europeiska integritetslagstiftningen på 20 år. Som medlem i EEA kommer även Norge att införa förordningen.

Telia i Norge utvecklar en lösning för samtyckeshantering med målet att erbjuda ”förtroende som tjänst” (Trust as a Service) mellan slutanvändare och de applikationer de använder. Tjänsten ger användarna tillgång till sin persondata online och gör det möjligt att kontrollera vem som har tillgång till deras data och för vilka ändamål den bearbetas. Lösningen är en del av Telia i Norges utvecklingsplattform och kommer att vara tillgänglig för alla interna och externa tjänsteleverantörer i början av 2017.

Tjänsten möjliggör för tjänsteleverantörer, det vill säga webbsajter, applikationer och tjänster, att skapa en dialog med slutanvändaren för att få tillstånd att bearbeta persondata. När användaren gett sitt tillstånd får båda parter ta del av ”avtalet” för den överenskomna dataanvändningen i ett format som kan läsas av slutanvändaren och användas av it-system.

”Utöver kravet att följa lagen börjar integritet bli en avgörande fråga i det digitala samhället, där konsumenternas förtroende är en avgörande framgångsfaktor. För att uppfylla vårt varumärkeslöfte – på kundens villkor - måste vi se GDPR som en affärsmöjlighet”, säger Linn Hege M. Bade, Engineering Lead för användar- och integritetshantering på Telia i Norge.

 

customers.png