Den 25 maj 2018 träder EUs nya dataskyddsförordning (GDPR) i kraft. ”Det finns ett antal frågor alla organisationer måste ställa sig – och se till att besvara. Viten på upp till 4 procent av omsättningen är inget att leka med”, säger Daniel Hjort, affärsutvecklare på identitets- och säkerhetsföretaget Nexus Group.
Dataskyddsförordningen gäller alla organisationer som bedriver verksamhet inom EU eller riktat mot EU-medborgare och som på något sätt hanterar personuppgifter.
”Syftet med de nya reglerna är att skydda privatpersoners integritet. Vissa lagar har även som syfte att underlätta för företag och organisationer, men så är tyvärr absolut inte fallet med Dataskyddsförordningen”, säger Daniel Hjort.
Det är dessutom inte helt lätt att få grepp om vad reglerna egentligen innebär för en organisation, eftersom lagen är omfattande, komplex och innehåller en rad undantag, enligt Daniel Hjort.
”Det är hög tid för alla organisationer att börja sätta sig in i den här lagen och dess konsekvenser. De flesta kommer nog fram till slutsatsen att det är en större utmaning än man befarat att leva upp till de nya kraven”, säger Daniel Hjort.
De viktigaste punkterna i den nya förordningen, enligt Daniel Hjort:
- Tillgänglighet
Alla individer har alltid rätt att ta del av de uppgifter din organisation har registrerade om dem.
”Och det är upp till din organisation att säkerställa att ni inte lämnar ut information till fel person när ni får en förfrågan”, säger Daniel Hjort.
- Spårbarhet
Din organisation ska kunna visa vad som har gjorts med informationen.
”Ni måste även kunna visa både vilka som har sett den och vilka som har haft tillgång till den”, säger Daniel Hjort.
- Medgivande
Din organisation måste alltid få ett godkännande från personer ni vill registrera uppgifter om.
- Transparens
Det måste framgå i klartext hur din organisation använder personlig data.
- Portabilitet
Individen har alltid rätt att begära att informationen du registrerat överlämnas till en annan part.
”Syftet är att förenkla för den enskilde att till exempel byta leverantör på ett smidigt sätt, men det här ger även din organisation möjlighet att erövra kunder från andra leverantörer – och att förlora kunder till andra”, säger Daniel Hjort.
- Korrigering
Individen har rätt att få felaktig information om sig rättad.
- Borttagning
Individen har rätt att bli borttagen ur era register. Det här gäller även om personen tidigare godkänt lagring av persondata.
”Och det räcker inte bara att ta bort informationen – du måste se till att det inte finns några spår kvar”, säger Daniel Hjort.
Frågor alla organisationer måste ställa sig – och se till att besvara:
- Har vi insikt i vilka skadeståndsnivåer som är kopplade till bristande efterlevnad?
- Har varje del av vår organisation rättslig grund för insamling och användning av personuppgifter?
- Har vi rutiner för att klara av att meddela berörda parter och tillsynsmyndigheten inom 72 timmar efter ett dataintrång?
- Hur ser vi till att inte samla in mer information än nödvändigt och att inte spara den längre än nödvändigt?
- Hur säkerställer vi att data som är insamlad för ett användningsområde inte används för något annat över tid?
- Finns det en process på plats för att ge individer tillgång till sina uppgifter när de frågar efter dem?
- Finns tillräcklig informationssäkerhet på plats för att skydda de registrerade personuppgifterna?
- Skickar vi skyddsvärda personuppgifter med okrypterad e-post och hur byter vi i sådana fall till en säker kommunikationsmetod?
- Hur hanterar vi kraven på gränsöverskridande dataöverföringar?
- Hanterar vi personlig data på uppdrag av andra organisationer, och efterlever vi i sådana fall de skyldigheter det medför?
- Har vi en process för att radera personliga uppgifter när individer begär det?
- Har vi satt av de pengar som krävs för att leva upp till alla de nya kraven?
- Har vi utsett ett dataskyddsombud och planerat för dennes utbildning?
- Behöver vi även ett biträdande dataskyddsombud som kan hjälpa vårt dataskyddsombud att ansvara för att vi följer lagen?
Tekniska lösningar som kan hjälpa din organisation att leva upp till dataskyddsförordningen:
Grundförutsättningen för säker personuppgiftshantering är – precis som för all annan säkerhet – pålitliga identiteter. Om du inte vet vem eller vad du har att göra med spelar det ingen roll hur pålitliga dina skyddsmekanismer är.
”Därför är steg ett att få en lösning på plats som gör att ni får bra kontroll på identiteterna för såväl era anställda som era kunder, medborgare, medlemmar och partner”, säger Daniel Hjort.
Steg två är att se till att din organisation har tekniska lösningar på plats för att:
-
- Ge rätt tillgång till personuppgifterna för anställda och partner
Alla ska inte kunna se och göra allt.
- Erbjuda kunder, medborgare och medlemmar möjlighet att interagera med er på ett tryggt sätt
Alla individer bör erbjudas möjlighet att logga in och identifiera sig säkert.
”Användarnamn och lösenord är oftast inte tillräckligt bra. Med teknik för säker inloggning kan ni låta individerna själva se vilken information ni har sparad om dem, istället för att de ska kontakta er och be er att lämna ut uppgifterna manuellt. Det är även tids- och kostnadsbesparande att erbjuda digital signering vid begäran om borttagning av personuppgifter”, säger Daniel Hjort.
- Kommunicera krypterat
- Få spårbarhet
Ni måste kunna redovisa ändringar i personuppgifterna och ge information om vem som har gjort vad och när.