北欧Cio采访:RenéEngman,Viking Line
欧盟的一般数据保护条例(GDPR)距离生效不到一年,并迅速迎接其对数据隐私和保护的需求。
芬兰航运公司Viking Line是一家早期初学者之一,并在一年前推出了其GDPR项目。但是CioRenéEngman认为仍然有很多事情。
“我们现在知道我们所做的事情,我们做了一些事情,我们有一个未来的计划,”他每周告诉计算机。“我们已经在控制中拥有我们的结构化数据,但接下来我们必须考虑非结构化数据。”
通过非结构化数据,Engman指的是关于存储在正式数据库之外的员工和客户的个人信息,例如用电子邮件,电子表格和Word文档编写。这是Viking Line对Where以及何种个人数据的审查的最后一条段,这些个人数据存储在公司的内部系统以及其外部合作伙伴之间。
这不是小小的壮举。2016年,Viking Line将超过650万乘客和13万货舱的七次游船,芬兰,瑞典和爱沙尼亚之间航行。新的监管适用于与欧盟公民相关,存储和处理的所有个人信息。
Engman在七年前在公司经过长期职业生涯之后成为Viking Line的Cio,于1987年开始作为IT经理开始。多年来,他已经看到并监督了运输公司的许多变化 - 但最大的是它的作用。
“它已经发展成为我们业务最重要的部分因换算来源,”他说。“现在,它现在更加专注于,在过去的情况下,它在技术上被驱动。”
这也意味着GDPR是一家公司的问题。它是启动合规项目的Engman,并开始映射公司如何管理系统级别的个人数据,但今天有律师和商界人士与他一起工作。他们的作用是确定收集不同种类的个人数据的法律理由以及公司被允许或必须储存它的时间。
IT团队的焦点是确保客户可以轻松同意 - 无论是在Viking Line的应用程序,网站或预订系统 - 存储的数据上,并且没有个人数据都存在过去其合法的“到期日”。
“从它的角度来看,清理比一到一年或两年的数据是一件大事,建立这些例程和流程,”Engman说。
GDPR还将介绍72小时通知要求。它规定,所有处理个人数据的公司都必须在三天内向正确的当局通知任何数据泄露,或者面临高达2000万欧元或4%的全球年收入的罚款,以较大者为准。
“为了实现这一点,我们将我们的登录信息集中在不同的系统中,能够以比以前更平滑的方式分析它,并找到违规的迹象,”Engman说。“我们还改变了防火墙以更好的入侵保护系统更具现代解决方案。”
虽然Viking Line早期踏上了其GDPR的准备,但Engman说,没有完全准备好的东西。相反,由于公司的数据需求发生变化,GDPR生效,合规过程将持续很长时间。
“我们将购买新系统,因此必须重新分析客户信息如何处理,”他说。“也,在今后,我们将与今天相比以新的方式使用客户和员工信息。”
另一个问题Engman指出的是遗留系统,这些系统并不总是用新数据流程轻松更新,并花时间续订。他强调,公司需要在他们的方法中相当务实,确保风险分析,并定义最重要的GDPR要求。
“我相信监管机构将是实际的,”Engman说。“许多公司正在研究[GDPR],但没有人会在控制中拥有一切。你可以总是找到可以更好的东西。“
他对仍然拖延关于GDPR遵从性的任何人的建议是开始立即开始,获得致力于该过程的最高管理层,并提前涉及法律顾问,最好是项目领导。所需的决定之一是公司是否旨在成为课堂上的最佳,中间或在GDPR合规性的围栏之上。
这包括重新审视任何外包协议,其中Viking Line有许多。该公司在IT中遵循了多场策略,并提供了任何东西 - 例如其基础设施中的大部分 - 在那里它不会通过在内部进行竞争优势。
“您需要确定代表您代表您处理个人信息的人,无论是在云端还是外包,并与他们达成协议,并不允许这样做,”Engman说。
GDPR代表了Viking Line的巨大工作量,但有一个积极的一面,Engman - 该公司现在在所有系统中都有更好地更好地记录了个人信息和数据流程。
“你可以获得更好的控制和更好的结构[过度数据] - 这对所有公司都有好处,”他说。
这对Viking Line至关重要,因为数据的作用将继续在公司中增长。下一步在列表中,使用各种数字渠道的数据来更好地了解客户的行为,例如为什么跳闸预订没有最终确定。Engman认为公司将通过开发其数据驱动的营销,销售和分析来保持竞争力。
“我们正在进行越来越多的数字方向,我们必须考虑对我们意味着什么,”他说。“我们有很多想法,但我们总是必须计算我们认为可以从他们那里获得什么样的投资回报或者他们与整体策略相关联。这是最大的挑战。“