General Data Protection Regulation – ny svensk förordning 2018

PUL och Dataskyddsdirektivet från 1995 ersätts av GDPR och blir en ny svensk förordning som börjar gälla 25:e Maj 2018. Denna nya förordning syftar till att stärka rättigheterna för personer inom EU och ge dem verklig kontroll över sina personuppgifter. Samtidigt syftar den till att underlätta för företag som har verksamhet i flera olika EU-länder. Förordningen innebär en klar skärpning av regelverket för hur organisationer som verkar inom EU får samla in, ge tillgång till, lagra och hantera personligt data. Några av förändringarna är:

  • Skärpta krav på samtycke för att samla in personuppgifter
  • Personer ska ges tillgång till sina egna uppgifter
  • Om personen vill, ska de få sina uppgifter raderade
  • Personer skall enkelt kunna flytta sina uppgifter till en annan organisation
  • Organisationer som drabbas av en incident måste anmäla detta inom 72 timmar

Att inte följa kraven i förordningen kan innebära dryga böter på upp till 20 miljoner euro eller 4 % av globala omsättningen. Det kan, inte minst, även skada det egna varumärket.

Vad är en personuppgift?

En personuppgift anses vara information som går att härleda till en identifierad eller identifierbar fysisk person.  En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som: 

  • ett namn
  • ett identifikationsnummer
  • en lokaliseringsuppgift eller onlineidentifikator
  • ett fotografi
  • en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella och sociala identitet

När gäller förordningen?

Definitionen av behandling är vid och omfattar alla åtgärder som vidtas i fråga om personuppgifter. Exempel: Insamling, Registrering, Lagring, Spridning och Samkörning

För vem/vilka gäller förordningen?

Alla, myndigheter, företag, kommuner, föreningar och enskilda berörs i någon form.

Alla företag, myndigheter m.m. som säljer till EU enligt ”Effektlandsprincipen”, dvs erbjuder varor och/eller tjänster till registrerade inom EU, oavsett om behandlingen av personuppgiften sker i unionen eller inte. Den gäller även vid övervakning av personers beteende så länge beteendet sker inom unionen.

Exempel på områden som hanterar personuppgifter:

  • HR
  • Verksamheten
  • Affären
  • Organisationen
  • IT
  • Utvecklingen (alla typer )
  • Upphandlingar

Undantag gäller för en fysisk person i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll, som behandlar personuppgifter.

Hur förbereder man sig inför förordningen?

”GDPR” är en ledningsfråga och ledningen måste få förståelse för vad GDPR innebär, budget för GDPR frågorna/arbetet är oundvikligt, samt att det är än viktigare nu att ha en tydlig förståelse förordningen pga viten och risken att skada det egna varumärket.

De flesta organisationer kommer att behöva arbeta mer med styrning, medvetenhet, ansvarighet, analyser, öppenhet, kartläggning och dokumentation.

Ta hjälp tidigt i processen, det finns både IT-bolag och juristfirmor som redan nu jobbar med GDPR för att hjälpa kunderna med allt från planer, processer, utbildningar till informationssäkerhet och systemförändringar.

Påbörja resan

De som har ett etablerat ledningssystem för informationssäkerhet och följer PUL, så blir omställningen mindre och endast ett mindre arbete behöver genomföras.

Exempel på områden där många organisationer förväntas ha brister är konsekvensanalyser, riktlinjer och instruktioner, gallringsplaner, behörighetstilldelning, informationsinsatser och samtycken, lagring på gemensamma servrar och mobila enheter, IT-leverantörsavtal m.m.

Kontract kan erbjuda ledning vid GDPR-arbetet och utföra/medverka till bl a följande åtgärder:

  • En inventering (glöm inte att informationen finns i både IT-systemen och inom skilda verksamhetsprocesser)
  • Riskanalys
  • GAP-analys, rekommenderar en genomförbar nivå
  • Skapa och genomföra åtgärdsplaner (IT-system, verksamhetsutveckling, förändringsledning, etc..)
  • Medvetandegöra internt om de nya reglerna
  • Fördela ansvar och skapa organisation
  • Ställa krav på leverantörer – upphandla och genomföra förändringar i system
  • Se över era IT-leverantörsavtal

OBS! Resultatet innebära sannolikt både organisatoriska OCH tekniska åtgärder.

Slutord

Tips och kunskap till ansvariga: börja NU! Det är lite tid kvar och mycket att göra. För att nå större framgång vid förändringsarbetet inför GDPR gäller det att verksamheten tillsammans med kompetenser som exempelvis, verksamhetsutvecklare, förändringsledare, jurist, arkivarie och registratur tar sig tid och utför en flerdimensionell analys av den kommande förändringen. Frågor du ska ställa dig inför denna typ av förändring är t.ex: Vilken påverkan på befintlig verksamhet och dess regelverk får denna typ av förändring? Vilken hänsyn bör tas och hur?

17 november 2016

Rekommenderat

White paper

Hur du anpassar företagets hantering av personuppgifter till GDPR

Läs och lämna en kommentar

Oformaterad text

  • Inga HTML-taggar tillåtna.
  • Webbadresser och e-postadresser görs automatiskt till länkar.
  • Rader och stycken bryts automatiskt.

WHITE PAPER

24 maj 2017

EU har beslutat om en ny förordning som innehåller regler om hur du får behandla dessa personuppgifter. Förordningen börjar gälla den 25 maj 2018 och kallas dataskyddsförordningen eller GDPR (en förkortning av General Data Protection Regulation som förordningen kallas på engelska).

WHITE PAPER

12 januari 2017

Vi har i tidigare white papers berättat om trender inom outsourcing samt beslut om outsourcing av IT. Som ett avslut i denna serie är vi nu framme vid upphandling av IT.

WHITE PAPER

15 november 2016

Vi har tidigare berättat om att outsourcingen av IT ökar för varje år och belyst de senaste trenderna inom outsourcingområdet. 

Att förstå de bakomliggande drivkrafterna och företeelserna räcker dock oftast inte för att en organisation ska kunna fatta beslut om outsourcing av hela eller delar av IT ska genomföras.

WHITE PAPER

12 oktober 2016

”Vi måste tänka utanför boxen”. Hur ofta sägs den meningen i din organisation? Vad betyder det egentligen. Och vad får det för konsekvenser när det väl är sagt? Blir vi mer innovativa då?

Låt oss titta lite närmare på detta fenomen och hur det påverkar oss i vår vardag. Men innan bör vi nog ta ett steg tillbaka och fundera på varför frågan dyker upp överhuvudtaget.

Sidor