Den 25 maj 2018 får vi en ny lag med utgångspunkt från EU:s nya förordning om personuppgifter och dataskydd, GDPR. Alla företag och organisationer har då att förhålla sig till en skärpt reglering avseende behandling av uppgifter om enskilda individer, med en hel del krav och sanktionsavgifter.
Jämfört med befintliga PUL som kom 1998 ställer GDPR nya krav med hot om vite om man inte följer den. Mao är det nu hög tid att agera för att säkerställa rutiner, säkerhet och hur man hanterar personuppgifter i sin verksamhet. Det är praktisk vishet att också sätta upp en tidplan för arbetet att analysera vilka förändringar man behöver göra och hur de ska införas.
Inledningsvis ska sägas att vi inte har juridisk kompetens, men eftersom vi möter frågorna återkommande har vi ändå tillägnat oss en hyfsad förståelse inom de områden som är relevanta för oss tex webbutveckling, hosting och marknadsföring på nätet. Här redovisar vi lite av det vi tänker man bör uppmärksamma.
GDPR – Vad är det?
GDPR står för General data protection regulation, på svenska Allmänna dataskyddsförordningen. Mycket förenklat innebär förordningen:
1. Samtycke krävs för att samla in och behandla personuppgifter.
2. Syftet med insamlandet och behandlingen ska tydligt framgå.
3. Berörda personer ska ha tillgång till, och möjlighet att justera, sina uppgifter.
4. Berörda personer ska kunna få sina uppgifter borttagna.
5. Om dataintrång sker ska detta anmälas till den nationella tillsynsmyndigheten inom 72 timmar.
GDPR – Några exempel på områden där förändringar kan behövs i sättet att arbeta med personuppgifter
Nedan punkter visar mycket tydligt hur GDPR har hög relevans inom IT såsom lagring av data och marknadsföring:
Policy & Rutiner: Företag ska kunna visa att förordningen följs – det ställs högre krav på eget ansvar och förebyggande insatser. Rutiner, dokumentation och policyer ska finnas på plats och kunna redovisas. Tex hantering vid dataläcka eller liknande.
Inkluderar ostrukturerad data: GDPR gäller all behandling av personuppgifter, inklusive det som kallas ostrukturerad data, det vill säga löptext i tex word, epost, fritextfält i olika system, sociala medier etc. En personuppgift är något som direkt eller indirekt kan identifiera en fysisk person, som namn, bild, IP-nummer, gatuadress osv. (Om alls möjligt undvik att lagra känsliga personuppgifter som tex Ras, etnicitet och ursprung samt politiska, ideologiska och religiösa åsikter.)
Aktivt samtycke krävs för lagring: Besökare måste få tydlig information och ibland lämna sitt samtycke innan personuppgifter behandlas digitalt, det gäller tex spårning, insamling och lagring av data. Samtycket ska vara granulärt, dvs valbart på detaljnivå, och även inkludera syftet med att informationen samlas in.
Man äger själv sin egen data: På begäran ska registerutdrag lämnas ut, där den registrerade har rätt att få ut all personuppgiftsinformation som ni har lagrat – även ostrukturerad data i alla system. Inkluderar rätten att på begära få sin data raderad.
GDPR – Strategi för införande, upprätta en plan redan idag!
Försök hålla det enkelt och tillämpa en riskbaserad prioritering, åtgärda större risker först. Allt kanske inte behöver vara klart till maj 2018. Innan GDPR införts är det svårt att få överblick och veta på vilket sätt lagen kommer att tillämpas i praktiken.
Man kan tänka sig nedan steg i ett införande:
1. Utse ett dataskyddsombud som är internt ansvarig för att företaget implementerar dataskydd på ett fullgott sätt.
2. Kartlägg ert nuläge: vilka personuppgifter hanterar ni? Vilka register och system använder ni?
3. Utbilda internt, håll tex en workshop för att identifiera vilka delar är mest brådskande för just ert företag?
4. Uppdatera era avtal med leverantörer, personuppgiftsbiträdesavtalen.
5. Dataskydd är en ledningsfråga, men se också till att rätt personer i organisationen involveras och får rätt resurser.
GDPR – Några specifika områden som vi tänker kommer beröra vår egen verksamhet
Här listar vi några konkreta områden och specifika exempel som vi tänker är angelägna för oss och våra kunder. Inom dessa områden står vi också till tjänst med rådgivning och förslag på lösningar för våra kunder och i de projekt vi berörs av.
- Hosting & Webbhotell
– Om tredje part står för drift av servers som inkluderar personuppgifter krävs ett personuppgiftsbiträdesavtal som visar att rutinerna följer GDPR.
– SSL kan ses som ett måste om personuppgifter hanteras på sajten, egentligen redan på formulärnivå definitivt när det gäller e-handel.
– Hur hanteras backuper och databaser, raderas gammal data och hålls också säkerheten hög på dessa?
– Kom ihåg att även epost ingår i det som kallas ostrukturerad data och alltså ingår i GDPR. - Nyhetsbrev
– Självklart skickar ni väl bara till de som godkänt att ta emot era utskick. Har ni också koll på vilka ni skickar till, om någon frågar ska du kunna ge ut vilka uppgifter du har om vederbörande.
– Här kan man lägga märke till att hur du vill använda personuppgifter uttryckligen måste godkännas, det är inte ok att förutsätta att du kan skicka nyhetsutskick bara för att personen är kund, de ska ha godkänt aktivt att de vill ta emot nyhetsbrev. - Marknadsföring & Cookies
– Säkerställ att du har tydlig info på hemsidan med en integritetspolicy. Texten skall vara skriven på ett sådant sätt att den är lättbegriplig för den tilltänkta målgruppen.
– Man måste kunna tacka nej till spårnings-cookies, men godkänna cookies för att webbplatsen skall fungera. Här ingår möjlighet att dra in sitt samtycke om dessa saker. - Webbutveckling & Webbsystem med personuppgifter, tex e-handel.
– Eftersom vi bygger och driftar webbplatser behöver ni ha ett avtal med oss som reglerar personuppgiftshanteringen och hur it-säkerheten upprätthålls.
– Om du driver e-handel kommer du behöva se över köpvillkor och det som gäller hantering av personuppgifter.
GDPR: Viktigt att få koll på läget före maj 2018
Som en summering skulle vi säga att man bör säkerställa nedan tre områden innan lagen träder ikraft.
1. Register: Kan din verksamhet uppvisa ett register över vilka typer av personuppgifter ni behandlar samt dokumentation som visar hur ni tillser att uppfylla personuppgiftslagstiftningen tex vid en dataläcka.
2. Processer: Ni har processer på plats för att se till att alla epost-utskick, SMS och annan kundkommunikation där personuppgifter används, sker med exempelvis samtycke, med stöd av avtal, med stöd av en intresseavvägning eller annan laglig grund.
3. Säkerhet: Ni har kontroll på att era IT-system där det finns kunduppgifter och uppfyller kraven på informationssäkerhet. Ni gallrar regelbundet bland gamla kunduppgifter så att de inte sparas för länge.
Till skillnad från tidigare PUL lagstiftning kan brott mot GDPR innebära en sanktionsavgift. Vite kan utgå på upp till 20 miljoner Euro eller 4% av bolagets totala omsättning. Alla misstänkta övertramp mot GDPR kan anmälas till Datainspektionen som sedan får bedöma om ev brottsutredning och påföljd. Att säkerställa att man rimligt följer lagstiftningen blir därför prioriterat för alla företag.
Hur Argonova Systems jobbar med GDPR just nu
Vi är i full gång med arbetet inför den nya lagstiftningen och vi går igenom våra register, dokumenterar hanteringen av personuppgifter, processer, rutiner, samtalar med våra partners mm.
Då den nya lagstiftningen träder i kraft kommer vi också att teckna personuppgiftsbiträdesavtal enligt de nya kraven med alla kunder.
Vi kommer framöver återkomma med mer information kring detta. Som nämndes inledningsvis har vi inte själva den juridiska kompetensen så vi har därför en kvalitetssäkring i vårt arbete med GDPR genom externa juridiska konsulttjänster som vi också kan tillhandahålla för kunds räkning.
Vi vill gärna bistå er som partner på vägen och tillsammans lägga upp en strategi för att göra er förberedda och rustade när GDPR träder i kraft.
