Ingen kan väl ha undgått att EU inför ny dataskyddsförordning, General Data Protection Regulation (GDPR). Beaconomist bad fyra experter ge sina bästa råd. Det är dags att ”komma ut ur förnekelsestadiet”, som en av dem säger.
BENGT BERG, CHEF FÖR COMPLIANCE MANAGEMENT SERVICES, CYBERCOM
Vilka aktörer påverkas av nya GDPR?
– Det tydligaste svaret är alla som över huvud taget behandlar personuppgifter, säger Bengt Berg och fortsätter:
– Det finns andra regelverk också som man måste förhålla sig till. Till exempel hur man hanterar patientdata, som kan innebära tillägg eller avsteg från GDPR, men de som berörs på så sätt har väldigt bra koll på dem. Så om du anser att GDPR fortarande är ett frågetecken, så är det verkligen något du påverkas av och behöver ta tag i.
Finns det några branscher eller aktörer som påverkas särskilt?
– Självklart är det så, även om väldigt få kan ducka för det. De som påverkas särskilt är de som jobbar med tjänster till människor, då ökar ansvaret. Likaså om du arbetar med en stor mängd människor eller hanterar stor mängd persondata, som inom post- eller finansverksamhet. Då är GDPR en större kaka att bita i. Det finns olika grader i helvetet.
Vad är de viktigaste grejerna man behöver känna till?
– Man behöver, om man inte redan gjort det, ta en titt på Datainspektionens hemsida där det finns en lysande bra genomgång av GDPR. Det viktigaste är att förstå att GDPR ger olika rättigheter till de personer vars uppgifter behandlas, och skyldigheter till de som behandlar uppgifterna. Det här innebär att GDPR-efterlevnad inte kan vara föremål för en desk review, man måste ha full kontroll över sina system och processer för att över huvud taget kunna avgöra om man efterlever kraven.
– Alla aktörer måste komma ihåg att den nya lagen ger rättigheter till de människor som registreras och skyldigheter till de som tillhandahåller data. Det är ingenting man kan koppa över och det finns inget val där man kan göra avsteg från lagstiftningen.
– En viktig skyldighet som träder i kraft är att aktörer måste rätta till trasig eller felaktig data om någon begär det. Likaså måste du vidta åtgärder om dataintrång påverkar sekretess av lagrad information.
Hur ska man förbereda sig?
– Det viktigaste är att redan nu komma ut ur förnekelsestadiet. De förnekelseförsök vi ser handlar inte om huruvida GDPR är tillämpligt för ett företag, eller för vilken information det gäller. Vi ser också många företag som mot bättre vetande tror att det går att dokumentera sig fram till efterlevnad. Att det är något som juristfunktionen kan ta hand om. Sanningen är den att det kan krävas enorma investeringar för att tillse att man de facto uppfyller lagens krav. Förändringsprojekten är dyrare och mer komplexa än att sätta nödvändiga verksamhetsfunktioner på plats, såsom incidentrapportering eller att få igång data protection officer – rollen.
Bengt Berg fortsätter:
– Det är egentligen två spår man bör få till att köra parallellt. Faktum är att det inte ens är ett år kvar innan den nya lagen träder i kraft. Man måste därför ta tag i det direkt. Ett spår är att få juridiken på plats med de avtal aktören behöver genom en data protection officer. Den andra spåret, och större utmaningen, är att förstå den data man samlat sen tidigare och alla komponenter datan består av. Att skapa system som applikationer, operativsystem och teknisk utredning måste ske parallellt med den juridiska utvecklingen inför GDPR.
– Jag har hört och sett flera föredrag och filmer där aktörer säger att du behöver en data protection officer och skriva en policy och sen är du klar. Men det är du inte. Då tar man inte höjd för de förändringar du kan komma att behöva göra senare för att korrigera misstag. Tänk ett banksystem som inte har förmågan att glömma bort information, hur löser du det? Det skulle krävas enorma resurser då. Börja därför omgående och arbeta praktiskt från dag ett för då det finns otäcka överraskningar som kommer och det är bättre att få de dåliga nyheterna direkt eftersom alla jobbar mot en deadline nu, säger Bengt Berg.
MAY-LIS FARNES, VD PÅ B3IT CYBER SECURITY
B3it Managemet lanserade i veckan den nya affärsenheten Cyber Security med syftet att stötta företag och myndigheter att bättre hantera risker och att hjälpa dem möta nya lagkrav, däribland nya dataskyddsförordningen.
Vilka yrkeskategorier behöver bry sig om de nya förordningarna?
– Alla som samlar in, behandlar och lagrar personuppgifter. Det är ofta de flesta delar av en verksamhet. Också interna funktioner som hr och ekonomi, säger May-Lis Farnes.
Ser du några organisationer/företag/branscher som särskilt påverkas?
– De organisationer/företag/branscher som arbetar med privatpersoner berörs mest då de har stora mängder av personuppgifter för de privatpersoner som de agerar mot. Det gäller både företag och offentliga verksamheter. De som berörs speciellt är självklart de som idag "lever av" personuppgifter.
Vad är de viktigaste sakerna man behöver känna till?
– Att dataskyddsförordningen ställer nya och högre krav på behandling av personuppgifter och skydd av personuppgifter. Att behandla personuppgifter omfattar allt från insamling som ska vara med legal grund eller samtycke, att uppgifterna ska användas bara till det som de är samlade in för, att inte mer information än nödvändigt ska lagras och att den registrerade har rättighet att veta vilken information som lagras.
– I tillägg så ska skyddet av personuppgifter vara dokumenterat och up to date.
– Dataskyddsförordningen träder i full kraft 25 maj 2018 och då kan tillsynsmyndigheten Datainspektionen göra tillsyn och en organisation kan anmälas. Då kan det finnas risk för böter.
Hur ska berörda personer förbereda sig?
– Det är organisationer som behöver förbereda sig och det handlar om verksamhetsutveckling, att leva upp till kraven. Det är en ledningsfråga och inte bara en IT-fråga. Det berör hela organisationen.
JAN FAGER, RÅDGIVARE INOM JURIDIK OCH MARKNADSFÖRING
Vilka yrkeskategorier behöver bry sig om de nya förordningarna?
– Alla som på något vis hanterar personuppgifter – så det är väldigt brett, säger Jan Fager.
Ser du några organisationer/företag/branscher som särskilt påverkas?
– De som redan idag behandlar känsliga uppgifter kanske har ett bättre utgångsläge. Kundklubbar, medlemsklubbar, eventbyråer, företag som ligger på en massa ’bra att ha’ listor och som redan idag är tveksamma eller kanske olagliga kommer imorgon att vara olagliga och också kunna kosta mycket pengar i form av böter, med mera.
Vad är de viktigaste sakerna man behöver känna till?
– Samtycket, måste vara betydligt mer klart och tydligt. De svepande godkännande som används idag när uppgifter samlas in duger inte imorgon (maj 2018). Vi måste ange för vad och under vilken tid vi ska behandla uppgifterna. Inte samla in mer information än vad som behövs, Inte ha kvar informationen längre än nödvändigt och Inte använda uppgifterna till något annat än vad som var syftet när de samlades in.
– Rätten att bli glömd – hur långt sträcker sig denna rätt återstår att se men den är viktig att känna till.
– Undantaget som finns idag för personuppgifter i löpande text, till exempel på hemsidor, försvinner. Journalistiska ändamål finns kvar, men många hemsidor måste göras om eller skaffa samtycke för att ha personnamn, med mera i texten. Även bilder på personal måste ha samtycke. Ett sätt kan vara att registrera hemsidan med utgivningsbevis och därmed hamna utanför lagen.
– Dataportabilitet, rätten att kunna få sina uppgifter flyttade från en aktör till en annan. Vanligast om en person vill flytta sina uppgifter från ett socialt nätverk till ett annat? Men kanske även mellan kundklubbar? ICA till Coop?
Hur ska berörda personer förbereda sig?
– Mappa upp vilka register, behandlingar och processer du har idag där personuppgifter förekommer, vem äger respektive process? Hur ska vi bygga in dataskydd i våra system framöver och säkerställa att de rensas och att vi inte behandlar uppgifter utan samtycke, berättar Jan Fager, och fortsätter:
– Vilka avtal har vi med molnet eller andra som behandlar/lagrar våra register? Vilka uppgifter behöver vi verkligen och vilka tar vi in bara för att vi alltid gjort så och att det är enkelt? Personnummer (10 siffror) behöver vi verkligen dessa? Eller är det bara enklare att uppdatera för oss och därför tar vi in dessa?
– Bygg in dataskydd i systemen, privacy by design och regleras uttryckligen i förordningen.
– Exempel, pseudonymisering, uppgifterna inte går att koppla till en enskild person utan ytterligare information (nyckel) som hålls avskild, eller dataminimering, det vill säga att endast behandla de uppgifter som är nödvändiga för varje enskilt ändamål.
LENA FISCHER, VD PÅ WONDERFOUR
Vilka yrkeskategorier behöver bry sig om de nya förordningarna?
– Ansvaret för att följa upp de nya förordningarna hamnar på flera yrkeskategorier och i flera olika faser, säger Lena Fischer och fortsätter.
– De ansvariga som ska se över, planera och driva förändringarna för att säkerställa att företaget följer de nya förordningarna.
– De som ska göra det grundläggande arbetet att inventera och göra en nulägesanalys av företagets insamlingar och hanteringar av personuppgifter.
– De som ska tillgodose de ökade möjligheterna för personer att ha kontroll över sina personuppgifter.
– För oss som webbyrå/digitalbyrå är det såklart också viktigt att förstå de nya behov och krav som ställs på insamling av personuppgifter via en webbplats eller app. Vi behöver till exempel veta hur vi kan förenkla våra kunders administrativa hantering av personuppgifter.
Ser du några organisationer/företag/branscher som särskilt påverkas?
– Har du en webbplats, app eller databas som på något vis samlar in eller hanterar personuppgifter så måste du se över hanteringen av dessa och eventuellt vidta åtgärder för att kunna följa de nya förordningarna
Vad är de viktigaste sakerna man behöver känna till?
– Att det kan bli dyrt att inte följa de nya förordningarna. Väldigt dyrt.
– Att även fast man följer den nuvarande personuppgiftslagen PuL, så måste man se över och nästan med säkerhet göra förändringar.
– Vår rekommendation är tydlig, se till att skapa funktionalitet på din webbplats eller i din app som enkelt gör det möjligt för användaren att själv hämta ut, hantera, redigera och också kunna radera sina personuppgifter. Risken är annars stor att du som webbplatsägare hamnar i extremt tidskrävande administrativa arbetsuppgifter när användare begär ut sin data.
Hur ska berörda personer förbereda sig?
– Gör en inventering. Du måste först göra det grundläggande arbetet att faktiskt kartlägga hur, var och varför ni samlar in uppgifter. Utse en ansvarig som ska leda arbetet före, under och efter att GDPR träder i kraft. Skapa riktlinjer för hur ni ska möta de utökade rättigheter en läsare har över sina personuppgifter. Ta hjälp om det känns snårigt.
Dela inlägg
Rolf van den Brink
DO JOBB
Almega Tjänsteföretagen söker en strategisk och engagerad förbundsdirektör som vill leda och utveckla vårt arbete för att stärka tjänstesektorn. Vi samlar en mångfald av branscher...
om oss Dagens Opinion riktar sig till engagerade och intresserade proffs inom opinionsbildning, kommunikation och samhällsförändring. Vår ambition är att utveckla, utmana och underhålla vår...