Ny persondata-forordning kan vendes til en konkurrencefordel

Arbejdet med at klargøre PFA til EU’s persondataforordning (GDPR) har været det klart største og mest ressourcekrævende projekt for landets største pensionsselskab de seneste 18 måneder. Sådan lyder konklusionen fra Jon Johnsen, COO i PFA, der anslår, at de fremadrettede opgaver, udløst af persondataforordningen, vil udløse 10-20 nye stillinger i virksomheden.

Han lever dog med de ekstra omkostninger, selv om selskaberne i den konkurrenceprægede pensionsbranche konstant jagter besparelser og effektiviseringer for at mindske udgifterne per kunde.

”Der er selvfølgelig en meromkostning, men den rammer hele sektoren, så der er tale om et grundvilkår. Og der er nogle storskalafordele ved GDPR, for man kan sige, at et selskab med en tiendedel af vores størrelse slipper ikke med at bruge en tiendedel af vores omkostninger,” siger Jon Johnsen.

Noget af det, der kommer til at forandre sig, er det administrative arbejde med datahåndtering. Det ekstra ressourceforbrug skyldes bl.a. kontakt med myndigheder, leverandører og samarbejdspartnere.

“Flere opgaver og processer skal håndteres anderledes, og det kræver noget mere dialog med vores interessenter. Tag fx de samtykker, vi indhenter hos kunderne. Flere af disse samtykker skal ændres, og det er nødvendigt at kontakte kunderne igen. Desuden fordrer GDPR mere sikkerhed og kontrol med datahåndteringen. Fx er der skærpede krav om databehandling til leverandører og samarbejdspartnere. Og alt dette kræver mere mandskab for at sikre, at vi gør det korrekt,” siger Jon Johnsen.

PFA’s nyansatte DPO – Data Protection Officer – overvåger, om reglerne bliver overholdt. Og skulle der ske brud på sikkerheden, er det DPO’ens opgave at anmelde det til Datatilsynet og få procedurerne justeret. DPO’en refererer direkte til bestyrelsen og har været rådgiver i GDPR-processen frem til 25. maj.

Digitalt hovedeftersyn

Jon Johnsen beskriver opgaven som et moving target, hvor PFA ”har skullet lære, mens vi bevæger os”. Sådan er tilgangen også nu, hvor den kundeejede pensionsvirksomhed er begyndt at fungere med de nye regler.

“Vi skal fremadrettet sikre, at særligt følsomme kundeoplysninger fortsat kun er tilgængelige for de medarbejdere, der har konkret brug for de data. Vi skal desuden kontinuerligt vurdere, hvornår det ikke længere er relevant at opbevare forskellige typer af data. Derfor har vi tilrettet vores systemer, så det bliver nemmere at slette gamle data, og der er nogle klare forretningsgange for det,” forklarer Jon Johnsen.

PFA har finkæmmet sine it-systemer for at se, om procedurer og databaser følger de nye regler, der skal sikre forbrugerne mod misbrug af personlige data. Og det har været omfattende at nå ud i stort set alle it-hjørner i en organisation med 1.300 ansatte og omkring 1,2 millioner kunder.

”Selvom vi generelt er et meget digitalt selskab, havde vi alligevel en del oplysninger liggende på papir. Meget er nu skannet ind, og vi har smidt 21 tons papir ud som led i GDPR-arbejdet,” siger Jon Johnsen.

Han vurderer samtidig, at det ret formelle regelsæt med tiden bliver ”blødt op” og udmøntet i en praksis, som skal kunne håndteres i dagligdagen.

“Det er jo først nu og fremadrettet, vi kommer til at se, hvordan reglerne bliver fortolket og håndhævet,” siger driftsdirektøren.

Mere skarp og effektiv

I Jon Johnsens øjne er PFA i kraft af GDPR blevet en mere skarp og effektiv organisation, som juridisk, teknologisk og organisatorisk har strammet op i forhold til fx it-systemer og procedurer.

”Vi får rigtig meget ud af det her. Det giver øget tryghed for kunderne at vide, at der er skærpet sikkerhed om deres data, og det giver øget tryghed i virksomheden og skaber øget transparens i branchen.”

Pensionsselskaberne ligger inde med mange personlige og følsomme data, og derfor har GDPRreglerne stor betydning for PFA. Selskabet har fx oplysninger om kundens løn, private økonomi og ofte også helbred og måske sygdomsforløb og stress, herunder behandlinger og samtaler med psykolog.

”Jeg synes personligt, at GDPR opstiller nogle fornuftige regler, og det er også PFA’s holdning. Sagerne med Facebook, Google og Cambridge Analytica understreger det vigtige i at have styr på personlige data,” siger Jon Johnsen med henvisning til forårets kritik af især Facebook for at have for løs omgang med personlige oplysninger om millioner af brugere.

Netop de sager har medvirket til, at de ansatte bakker op bag GDPR-indsatsen.

”Vi skal fx bede om samtykke oftere og spørge kunden mere specifikt, og derfor har alle ansatte været på kursus i, hvordan vi håndterer data. Indimellem har nogen måske undret sig over, at det skulle være nødvendigt, eller været irriterede over, at nogle procedurer kan virke mere besværlige end før. Men med sagerne fra medierne har de fleste så tænkt: ’Det er måske en meget god idé’,” fortæller Jon Johnsen.

Mange krav til branche

Selv om PFA Pension støtter intentionerne bag GDPR, så har driftsdirektøren en anke:

”Der er kommet meget på én gang, så det har sat os under pres. Ved siden af persondataforordningen har vi haft MiFID (om finansielle instrumenter, red.), vi har haft IDD, som nærmest er særlige MiFID-regler for forsikringsbranchen, og vi har haft skærpede regler om hvidvask. Hver for sig er det gode, fornuftige regler, men det er alt sammen kommet inden for ret kort tid,” forklarer Jon Johnsen.

I forvejen synes branchen, at politikerne for tit ændrer pensionsregler og skattesatser, så mange danskere har svært ved at følge med, ligesom selskaberne jævnligt skal ændre systemer og rådgivning.

Teknologisk tigerspring

Rent teknologisk mener Jon Johnsen, at finanssektoren er med helt i front, når det handler om at udnytte it og digitale muligheder.

”Vi er en af de mest digitale sektorer; alt ligger jo inde i en computer, og vi har i høj grad udnyttet potentialet. De næste muligheder opstår for alvor med den 4. industrielle revolution med kunstig intelligens (AI) og machine learning. Fx når vi kan finde mønstre i, hvilke karakteristika der optræder forud for et sygdomsforløb, så vi i højere grad kan hjælpe kunderne og forebygge, før de bliver ramt af fx stress eller anden sygdom. Men kunden skal naturligvis acceptere, at vi anvender denne tilgang, som jo også er i kundens interesse. Vi gør os flere overvejelser om, hvordan vi anvender teknologien inden for rammerne af forordningen.”

Jon Johnsen forventer, at teknologien kan udløse et tigerspring, der for alvor kortlægger observationer og identificerer mønstre i de mange kundedata.

I disse år kæmper PFA og hele pensionssektoren med høje og stigende udgifter til behandling og erstatninger ved stress og andre sygdomme, og derfor vil en forbedret forebyggende indsats være vigtig for det kundeejede selskab.