Et prosjekt hos Hålogaland Kraft har funnet en fornuftig løsning på utfordringer som alle kraftselskap har. Kraftselskap behandler store mengder personopplysninger som kan deles opp i hundrevis av protokoller som er umulig å vedlikeholde, det er fare for at personopplysningene flyter fritt mellom nettdrift og kraftsalg noe som er ulovlig og kan gi store bøter, og det skal utarbeides og publiseres personvernerklæringer som i detalj forteller kunder hvilke- og hvordan opplysningene behandles.
Hålogaland Kraft har pløyd seg dypt ned i personvernmaterien for kraftselskap for å komme opp med en fornuftig og håndterbar løsning. I prosjektet har selskapet tatt utgangspunkt i alle personopplysninger som kraftselskapet bruker, fra planlegging og utbygging av nett til fakturering, inkludert kraftsalg, kraftproduksjon, bredband og HR etc. Som faglig grunnlag har de benyttet Personopplysningsloven, Datatilsynets websider, Energi Norges bransjenorm, protokoller utarbeidet av Nettalliansen samt HR Norge sin bransjenorm for ansatte. Ekstern rådgiver har vært www.personvernappen.no
Mengde behandlinger og protokoller
Det gjøres mange behandlinger av personopplysninger i Hålogaland Kraft. Hvis en velger å dele opp alt i egne behandlinger så vil det bli over 200, og da det samme antall protokoller. Men Energi Norge har i sin bransjenorm laget en fornuftig oppdeling som prosjektet har tatt til følge. I bransjenormen er de viktigste behandlingene delt opp i fornuftige hovedgrupper, som:
- Administrasjon av kundeforhold
- Måling, avregning og fakturering
- Teknisk drift og kundestøtte
- Markedsføring
- Planlegge og bygge ut ny nettstruktur
- Det lokale Eltilsyn
Hvis en legger til kraftsalg, kraftproduksjon, HR og bredband så fikk en fram en grov oppdeling av behandlingene. I prosjektet valgte HLK å dele opp de grove behandlingene i noen mer detaljerte, for å kunne nyansere behandlingene godt nok, og for å sikre at alle opplysninger hadde relevante formål og behandlingsgrunnlag. De endte ikke på 200, men på like over 30 protokoller som dekker alle behandlingene til selskapet. 30 protokoller er et antall som selskapet kan vedlikeholde uten for mye ressurser. I prosjektet har hvert selskap i Hålogaland Kraft gjennomgått protokollene ned til detalj for å sikre at alt er tatt med og kvalitetssikret. Her kan dere se en oversikt over alle behandlingene som de kom fram til. Noen av behandlingene er like for de ulike selskapene, for å sikre funksjonelt skille (mer om dette nedenfor).
Informasjon til kunder og ansatte (og andre)
Den nye Personvernforordningen er i mye større et forhold mellom selskapet og kunden enn tidligere da en på mange måter rapporterte til Datatilsynet. I de nye reglene har kunder, ansatte og andre fått tydeligere rettigheter som de kan bruke (sletting, begrensning, korrigering, innsyn mv.). For å kunne bruke rettighetene er også de nye reglene tydeligere mht. hva og hvordan selskaper skal informere kunder og ansatte og andre. I paragraf 13 og 14 i Personvernforordningen står det at selskapet skal oppgi:
- Kontaktopplysninger om selskapet
- Formålet med behandlingen
- Hvilke kategorier av opplysninger som benyttes
- Hvor opplysningene innhentes fra
- Hvilket behandlingsgrunnlag selskapet har for behandlingen
- Hvem opplysningene deles med
- Hvor lenge opplysningene oppbevares
- Om opplysningene overføres til tredjeland
- Om hvordan dere sikrer opplysningene
Det sier seg selv at det ikke er mulig å lage en eller få personvernerklæringer som kan informere kunder og ansatte om de ulike behandlingene, til det er det for stor forskjell på behandling av måleravlesning og DLE eller videoovervåkning. I praksis betyr reglene at kunder og ansatte må bli informert med en personvernerklæring per protokoll. Les hva Datatilsynet skriver om dette her. Hålogaland Kraft benytter Personvernappen for å dokumenterer protokollene. Personvernappen lager automatisk en personvernerklæring per protokoll, basert på kravene ovenfor. Dette er svært ressursbesparende i forhold til å ha alt på Excelark.
Publisering av personvernerklæringer
Om Hålogaland Kraft samler inn opplysningene fra den registrerte så skal de registrerte informeres før opplysningene tas i bruk. Om opplysningene hentes inn fra andre kilder skal informasjonen gis innen rimelig tid. Les mer om dette hos Datatilsynet. For kraftselskap kan dette være utfordrende, men Hålogaland kraft har løst dette ved å bruke Personvernappens publiseringsløsning for personvernerklæringer. Alle personvernerklæringene finnes på en egen link på websidene til hvert selskap (samt en for HR), der kunder og ansatte kan se alle erklæringene. I tillegg kan Hålogaland Kraft sette inn linken i e-poster og i annen kommunikasjon med kunder og ansatte. Selskapet kan også sende over enkelt-erklæringer fra linken til Personvernappen, eksempelvis ved varsel om tilsyn eller ved e-poster som omhandler graving eller utbygging av nettet.
Se eksempel på en slik link for personvernerklæringer (her for nett) kan se ut. Tilsvarende lages og publiseres for alle selskap via Personvernappen.
Funksjonelt skille
Selskap som har over 10 000 kunder skal ha selskapsmessig og funksjonelt skille mellom nettselskapet og all annen virksomhet. Dette får også konsekvenser for bruk av personopplysninger, blant annet ved at nettselskapet ikke kan dele kundeopplysninger med kraftsalg eller andre selskaper i konsernet.
I prosjektet har det vært viktig for Hålogaland kraft å sikre at personvernet ikke fører til brudd på nøytralitetsforskriften. Dette er nå løst ved at selskapet har delt opp protokollene og personvernerklæringene slik at nettvirksomheten holdes adskilt fra de øvrige virksomhetene, slik som dette:
- Nett (HLK nett)
- Kraftsalg (HLK kunde)
- Produksjon (HLK Bredband)
- Bredband (HLK Bredband
- HR (HLK)
--
Hålogaland kraft vet at personopplysningene er en del av forretningsideen til selskapet - de kan ikke drifte uten kontaktopplysninger, betalingsopplysninger eller opplysninger fra målepunkter. Like viktig er det at selskapet ivaretar personvernet til leverandører og ansatte. Selskapet har etablert gode rutiner for både organisatorisk og teknisk sikkerhet og har innhentet databehandleravtaler fra programvareleverandører. Dog er personvern en kontinuerlig prosess som krever oppmerksomhet i overskuelig fremtid. Da er det viktig at deres personvernkonsept er håndterbart i størrelse (antall protokoller) og at organiseringen er tydelig.
Prosjektet hos Hålogaland Kraft har vært ledet av Nina Elise Simonsen, med deltakelse fra alle selskap. For mer informasjon om prosjektet kan dere kontakte Nina eller Rune Nyrem Kristensen.