Coop ble tildelt Fidusprisen i september i år, i konkurranse med blant annet Skatteetaten og Brønnøysundregisteret. Fidusprisen gis til en bedrift eller statlig virksomhet som har utmerket seg innen informasjonssikkerhet. Juryen består av Datatilsynet, Næringslivets Sikkerhetsråd og Norsk Senter for informasjonssikring. I begrunnelsen fra juryen vises det til at Coop er i front i sin bransje og går utover det man kan forvente innenfor bekjempelse av datakriminalitet og forebyggende informasjonssikkerhet. De har en modell for sitt sikkerhetsarbeid som i stor grad involverer Coops medlemmer.


INTERVJU MED CATHRINE FAYE LØDRUP Advokat, Coop Norge SA

Av MARIT TRODAL IIA Norge og REIDAR DØLI Oslo Børs VPS

 

Dette lover godt for at arbeidet med personvernlovgivning også er godt ivaretatt. Vi tok en prat med Cathrine Faye Lødrup (Advokat Coop Norge SA – juridisk avdeling) for å høre hvordan Coop jobber med å implementere personvernlovgivningen. Hva gjør personvern så aktuelt for Coop? Coop har ca. 1.6 millioner medlemmer og 28 000 ansatte og følgelig behandler vi store mengder persondata, både sentralt og i samvirkelagsstrukturen. De sensitive dataene vi behandler gjelder ansatte og dekker opplysninger om helse og fagorganisering. Vi innhenter ingen sensitive personopplysninger fra medlemmene.

Hvordan er Coop organisert?

Coop har en oppbygging som er ganske spesiell, hvor du som kunde kan melde deg inn i et samvirkelag og bli medeier i Coop. Hvert samvirkelag er en egen juridisk enhet. Coop har i dag 86 samvirkelag. Vi som jobber sentralt skal bistå alle de juridiske enhetene i Coop-systemet i arbeidet med GDPR. Det er viktig at alle enheter har kunnskap om personvernlovgivningen og ivaretar ansatte og medlemmene i tråd med lovverket. I en såpass komplisert organisasjonsstruktur som både inneholder enkeltstående franchisetakere og samvirkelag, ofte med mange underliggende butikker, er det krevende å få til, men like fullt viktig er at alle etterlever krav og lovverk. Det er viktig at medlemmene har tillit til varemerket Coop.

Hvordan er det å drive personvern i denne organisasjonen?

Det er en krevende jobb å sikre at hele organisasjonen opererer i tråd med lovverk. Men samarbeidet er godt på tvers av organisasjonen og personvern har stor oppmerksomhet. Hvordan har dere gått løs på GDPR? Vi gjennomførte først en grov kartlegging av alle avdelinger i Coop Norge SA med datterselskaper i forhold til GDPR, og har arbeidet videre i forhold til resultatene av den opp mot personvernlovgivningen.

Det er viktig at alle enheter har kunnskap om personvernlovgivningen og ivaretar ansatte og medlemmene i tråd med lovverket.

Vi har også sett på hvorvidt de samtykkene vi har i dag i tråd med lovgivningen. Hvordan har dere engasjert organisasjonen i dette arbeidet? Det har vært viktig med forankring hos konsernsjefen og ledelsen i Coop. Vi har hatt møte med alle ledergruppene i forbindelse med kartleggingen av interne prosedyrer og prosesser. Vi lagde også en spørreundersøkelse som ble sendt ut til ledelsen i fellesorganisasjonen. Formålet var å kartlegge alle systemene og prosesser hvor vi behandler personopplysninger i dag, og hvilke personopplysninger vi faktisk behandler. Vi ønsket også å vite hvordan man i praksis oppbevarer personopplysningene, hvilket formål de har, tilgangsrutiner og annen grunnleggende informasjon knyttet til personopplysningene. I tillegg har vi laget et e-læ¬ ringskurs som blir obligatorisk for alle ansatte. Dette er delt inn i to nivåer; Ett for de som jobber mye med personvern til daglig og et annet for de som skal vite det som er mest grunnleggende. Vi har også vurdert og konkludert med at vi trenger et eget personvernombud siden vi monitorer en betydelig medlemsmasse og har mange ansatte.

Hvor lenge har dere jobbet med forberedelsene til GDPR?

Jeg har jobbet med dette jevnlig i 1 ½ år og fremover vil det bli full fokus for min del.

Hva er IT sin rolle i dette arbeidet?

IT ser på dataflyten av persondata i systemene når det gjelder medlemmer, ansatte, bedrifter og netthandel. Med GDPR kommer det krav til dataportabilitet hvilket medfører at vi må legge til rette for at medlemmene kan ta med sine opplysninger til andre på en enkel måte. Dette krever også et system som enkelt kan hente ut medlemmers personlige opplysninger fra datasystemene. IT-sikkerhet er også viktig i forhold til overleveringen. GDPR handler jo mye om informasjonssikkerhet og internkontroll… Ja, det gjør jo det. Vi er gode på informasjonssikkerhet og det vi gjør nå er jo å sikre at vi har en systematisk tilnærming som dekker alle relevante områder. Vi har rutiner på å foreta risikovurderinger av systemene til samarbeidspartnere og vi må sørge for at alle databehandleravtaler er i tråd med ny lovgivning.

Hva er status på prosessen?

Vi har utarbeidet overordnet policy og har mange rutiner på plass allerede. I tillegg arbeider vi med å samle alle opplysningene på ett sted. Ellers følger vi med på de veiledningene som kommer for å se om dette påvirker arbeidet vårt, særlig innenfor medlemsordningen. Vi vurderer hvorvidt vi har behov for å innhente nye samtykker for å være i tråd med de nye reglene. Vi forbereder oss på flere mulig scenarioer inntil alt er klar. Hvilke forretningsmessige muligheter ser dere når det gjelder GDPR? Det går spesielt på tillit og godt omdømme, noe som igjen kan gi Coop et konkurransefortrinn. Vi ser at forbrukerne har tillit til at vi håndterer deres opplysninger på en skikkelig måte. Dette viser jo Fidusprisen også. For oss er det viktig å være tro mot konseptet og våre verdier.