Vad är GDPR?
Vad är GDPR? EU:s nya dataskyddsförordning General Data Protection Regulation (GDPR) träder i kraft den 25 maj 2018 och innebär bland annat hårdare krav på hantering av personuppgifter. Det kommer att ställas krav på nya rutiner och processer för säker hantering av register samt krav på ansvarig ledningsnivå.
Det har sedan flera år pågått diskussioner kring en uppdatering av EU:s dataskyddslag som inte har uppdaterats sedan 1995. Nu har parterna enats om ny lag som träder i kraft i alla EU-länder under maj månad 2018.
Den nya lagen General Data Protection Regulation (GDPR) (”Dataskyddsförordningen”) kommer att ersätta den tidigare Personuppgiftslagen (PUL) som baseras på det tidigare EU-direktivet Data Protection Directive (DPD).
Målsättningen med den nya dataskyddsförordningen är att på ett effektivt sätt modernisera dataskyddsreglerna i de 28 EU-medlemsländerna som har släpat efter den digitala utvecklingen.
Den nya lagen kommer tydliggöra för företag vilka regler som gäller och vad som händer ifall man följer reglerna. Till skillnad mot den tidigare lagen som inte varit detaljreglerande får nu de nationella tillsynsmyndigheterna stora möjligheter att döma ut höga böter.
Delar av Dataskyddsförordningen återstår för svenska lagstiftare att besluta i så det kan tyckas lite tidigt att försöka skriva om GDPR. Men jag vill ändå i denna blogg försöka utröna huvuddragen och vad som faktiskt idag är beslutat.
Påverkas du av GDPR – den nya Dataskyddsförordning?
Om du passar in på nedanstående beskrivning så är svaret ja.
GDPR gäller de företag som samlar in, processar eller lagrar personuppgifter.
Dataskyddsförordning gäller inte bara företag som är verksamma inom EU, utan även de organisationer som har affärsrelationer med en organisation som är verksamt i EU eller lagrar data i något EU-land.
Men vad menas med personuppgift?
En personuppgift är information som entydigt går att koppla till en individ. Det kan vara saker som exempelvis ett namn men det kan också vara information som i kombination med andra data möjliggör identifiering av en person. Exempelvis kan information om antalet barn, kombinerat med bostadsort och kön göra det möjligt identifiera en person.
Följande kan bedömas vara personuppgifter:
– ett namn
– en postadress
– en e-postadress
– platsinformation
– bankuppgifter
– ett foto
– en uppdatering i sociala medier
– medicinsk information
– en dators IP-adress
Några nyheter i Dataskyddsförordningen
De nya kraven kommer att innebära att företag kommer att behöva agera samordnat och utifrån en affärsförankrad strategi.
Det kommer ställas högre krav på att företag och andra organisationer informerar om hur den enskildes personuppgifter hanteras.
Det kommer i förordningen finnas krav på att tillhandahålla information om den enskilde på att transparent och lättförståeligt sätt.
Kraven på hur personuppgifter hanteras kommer nu vara desamma i hela EU.
Högre krav ställs på företagen på hur personuppgifter hanteras.
De nationella tillsynsmyndigheterna kommer kunna döma ut stora ”administrativa avgifter på upp till 20 miljoner euro, om ett företag till exempel inte lämnar ut information till registrerade, inte anmäler dataintrång eller inte skyddar personuppgifter med lämpliga säkerhetsåtgärder.
En skyldighet för företag att till tillsynsmyndigheten och i vissa fall den enskilde, anmäla dataintrång.
”Rätten att bli glömd” förstärks så att personer som inte längre vill att personuppgifter om dem behandlas ska kunna begära att uppgifterna raderas, om det inte finns legitima skäl att behålla dem.
Om ett företag tänker sig hantera personuppgifter som kan innebära stora integritetsrisker (som att inneha uppgifter om barn eller nationalitet) så måste företaget göra en konsekvensanalys, en så kallad Data Protection Impact Assessment.
Om denna visar att risken är stor så måste tillsynsmyndigheten (Integritetsskyddsmyndigheten) kontaktas och en förhandskontroll göras för att undersöka om sättet på vilka personuppgifterna samlas in och hanteras är lagenliga.
Enskilda ska kunna vända sig till ”sin egen” tillsynsmyndighet med klagomål som rör uppgifter som hanteras i ett annat land. En svensk medborgare ska alltså kunna vända sig till Datainspektionen med ett klagomål som rör ett företag i Tyskland.
GDPR och dina IT-system
Nedan några exempel på frågor som du anses kunna besvara och upprätthålla.
– Is the system protected by one or more firewalls?
– Is the firewall operating system updated regularly?
– Are any security measures configured in the network equipment?
– Is the operating system on the servers hardened?
– Is active, updated and current anti-malware/virus protection installed on the servers?
– Is change control enforced for the infrastructure?
– Are any application modules (i.e. the business logic) on the servers regularly updated (Or at least updated when errors have been discovered)?
– Is the database software updated regularly (If the database is a separate component)?
– Does the application have protection against malicious actions?
– Is change control for the application enforced?
– Are data entry or search interfaces secured to prevent data exfiltration?
– Is external user access to data/data entry protected?
– Are web or app interface access for example secured with encryption (i.e. TLS/SSL)?
– Are data backups made regularly?
– Is the usage of the system logged?
– Is all employee usage of application data logged?
– Is administrator access to application data and logs registered in a security log?
– Are security-/ access logs separated from the application in a secure environment?
– Does the system (or monitoring system) send alerts when data security is breached?
– Are security audits of data access, related to the system, carried out?
– Is the system regularly vulnerability tested?
– Is the system regularly penetration tested?
– Do you have plans for breach (security incident) handling?
– Do you document (i.e. keep log of) data breaches?
– Are internal users and administrators trained in personal data security?
– Are employees, consultants or service provider staff allowed to access personal data using uncontrolled or private devices?
– Are end-point security measures (i.e. antimalware, principle of least privilege etc.) implemented on devices used to access personal data?
– If personal data are transferred, are they encrypted/protected?
Vad bör man göra?
Dataskyddsföreningen förslår följande 5 steg:
1. Gör frågan om dataskydd till en ledningsgruppsfråga, så att strategiska beslut tas med förankring i vad dataskyddsförordningen innebär i ansvar och konsekvenser. Framförallt, bör ledningen erkänna den centrala roll som användarinformation och användarfeedback spelar inom digitaliserade bolag med stor användarbas. De nya kraven bör implementeras särskilt med tanke på affärsnyttan så att inte inhämtning och användning av användardata och därmed online konvertering och tillväxt i onödan försvåras. Inte heller ska kunden och slutkunden drabbas av alltför komplex information eller process, allt handlar i slutändan om att förtjäna kundförtroende.
2. Utse ett personuppgiftsombud. Detta är motiverat om ditt företag är ett större företag eller om företaget hanterar ett stor antal personuppgifter för registrerade. Personuppgiftsombudet ska få tillräckliga resurser och insyn, de ska kunna utföra sitt uppdrag på ett självständigt och oberoende sätt och de ska rapportera till högsta ledningen. (I tidigare utkast till datskyddsförordningen var det ett krav för företag över 250 anställda m.m., men detta har nu överlåtits till de olika medlemsländerna att besluta om.)
3. Säkerställ att ni avsätter både tid och budget under åren 2016 och 2017 så att företaget får förutsättningar att agera proaktivt i denna omställning och göra de förändringar som krävs planerat och strukturerat.
4. Kartlägg var inom organisationen man hanterar känslig information, vilka registreringsflöden ni har på er hemsida och hur era appar samlar in data. Tänk på att informationen finns i både IT-systemen och inom skilda verksamhetsprocesser (HR, CRM-system, företagets IT-tjänster, hemsidor m.m.).
5. Ta hjälp tidigt i processen. Det finns både IT-bolag och juristfirmor som redan nu jobbar med Dataskydsförordningen för att kunna hjälpa företagen med allt från planer, processer, utbildningar till informationssäkerhet och systemförändringar. Glöm inte bort affärsnyttan och hur er användning av personuppgifter och användardata driver tillväxt – släpp inte kontrollen och överblicken i denna så strategiska fråga!
Fredrik Jansson, fredrik.jansson@systemstod.se
Läs fler blogginlägg på Systemstödsbloggen
Affärssystem vs WMS >
Lagerhantering med handdatorer >
Tips och erfarenheter kring e-handel >