Säkerhet

General data protection regulation - ny svensk förordning 2018

PUL och Dataskyddsdirektivet från 1995 ersätts av GDPR och blir en ny svensk förordning som börjar gälla 25:e Maj 2018. Denna nya förordning syftar till att stärka rättigheterna för personer inom EU och ge dem verklig kontroll över sina personuppgifter.

Samtidigt syftar den till att underlätta för företag som har verksamhet i flera olika EU-länder. Förordningen innebär en klar skärpning av regelverket för hur organisationer som verkar inom EU får samla in, ge tillgång till, lagra och hantera personligt data. Några av förändringarna är:

  • Skärpta krav på samtycke för att samla in personuppgifter
  • Personer ska ges tillgång till sina egna uppgifter
  • Om personen vill, ska de få sina uppgifter raderade
  • Personer skall enkelt kunna flytta sina uppgifter till en annan organisation
  • Organisationer som drabbas av en incident måste anmäla detta inom 72 timmar

Att inte följa kraven i förordningen kan innebära dryga böter på upp till 20 miljoner euro eller 4 % av globala omsättningen. Det kan, inte minst, även skada det egna varumärket.

Vad är en personuppgift?

En personuppgift anses vara information som går att härleda till en identifierad eller identifierbar fysisk person.  En identifierbar fysisk person är en person som direkt eller indirektkan identifieras särskilt med hänvisning till en identifierare som:

  • ett namn
  • ett identifikationsnummer
  • en lokaliseringsuppgift eller onlineidentifikator
  • ett fotografi
  • en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella och sociala identitet

När gäller förordningen?

Definitionen av behandling är vid och omfattar alla åtgärder som vidtas i fråga om personuppgifter. Exempel: Insamling, Registrering, Lagring, Spridning och Samkörning

För vem/vilka gäller förordningen?

Alla, myndigheter, företag, kommuner, föreningar och enskilda berörs i någon form.

Alla företag, myndigheter m.m. som säljer till EU enligt ”Effektlandsprincipen”, dvs erbjuder varor och/eller tjänster till registrerade inom EU, oavsett om behandlingen av personuppgiften sker i unionen eller inte. Den gäller även vid övervakning av personers beteende så länge beteendet sker inom unionen.

Exempel på områden som hanterar personuppgifter:

  • HR
  • Verksamheten
  • Affären
  • Organisationen
  • IT
  • Utvecklingen (alla typer )
  • Upphandlingar

Undantag gäller för en fysisk person i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll, som behandlar personuppgifter.

Hur förbereder man sig inför förordningen?

”GDPR” är en ledningsfråga och ledningen måste få förståelse för vad GDPR innebär, budget för GDPR frågorna/arbetet är oundvikligt, samt att det är än viktigare nu att ha en tydlig förståelse förordningen pga viten och risken att skada det egna varumärket.

De flesta organisationer kommer att behöva arbeta mer med styrning, medvetenhet, ansvarighet, analyser, öppenhet, kartläggning och dokumentation.

Ta hjälp tidigt i processen, det finns både IT-bolag och juristfirmor som redan nu jobbar med GDPR för att hjälpa kunderna med allt från planer, processer, utbildningar till informationssäkerhet och systemförändringar.

Påbörja resan

De som har ett etablerat ledningssystem för informationssäkerhet och följer PUL, så blir omställningen mindre och endast ett mindre arbete behöver genomföras.

Exempel på områden där många organisationer förväntas ha brister är konsekvensanalyser, riktlinjer och instruktioner, gallringsplaner, behörighetstilldelning, informationsinsatser och samtycken, lagring på gemensamma servrar och mobila enheter, IT-leverantörsavtal m.m.

Kontract kan erbjuda ledning vid GDPR-arbetet och utföra/medverka till bl a följande åtgärder:

  • En inventering (glöm inte att informationen finns i både IT-systemen och inom skilda verksamhetsprocesser)
  • Riskanalys
  • GAP-analys, rekommenderar en genomförbar nivå
  • Skapa och genomföra åtgärdsplaner (IT-system, verksamhetsutveckling, förändringsledning, etc..)
  • Medvetandegöra internt om de nya reglerna
  • Fördela ansvar och skapa organisation
  • Ställa krav på leverantörer – upphandla och genomföra förändringar i system
  • Se över era IT-leverantörsavtal

OBS! Resultatet innebära sannolikt både organisatoriska OCH tekniska åtgärder.

Slutord
Tips och kunskap till ansvariga: börja NU! Det är lite tid kvar och mycket att göra. För att nå större framgång vid förändringsarbetet inför GDPR gäller det att verksamheten tillsammans med kompetenser som exempelvis, verksamhetsutvecklare, förändringsledare, jurist, arkivarie och registratur tar sig tid och utför en flerdimensionell analys av den kommande förändringen. Frågor du ska ställa dig inför denna typ av förändring är t.ex: Vilken påverkan på befintlig verksamhet och dess regelverk får denna typ av förändring? Vilken hänsyn bör tas och hur?

Publicerat den 24 mars 2017 av Peter Funk
DELA INLÄGGET

Relaterat innehåll:

whitepaper

Får vi bjuda på en kaka? Denna webbplats använder cookies. Läs mer i vår cookiepolicy.