Checklista: 7 viktiga steg för att klara GDPR-anpassningen

Kontakta mig!

Den 25:e maj 2018 ersätts personuppgiftslagen, PUL, med EU:s nya lagstiftning General Data Protection Regulation, GDPR, som i Sverige kallas dataskyddsförordningen.

GDPR är den största förändringen av EU:s lagstiftning om integritetsskydd på två decennier och den kommer att få stor effekt även i Sverige. Lagstiftningen innehåller både nya och mer omfattande regler än tidigare. GDPR handlar om att skydda enskildas privatliv och kräver att organisationer respekterar och skyddar personuppgifter – oavsett var de skickas, bearbetas eller lagras.

I den här artikeln får du läsa om 7 steg som kan hjälpa dig med ditt företags GDPR-anpassning. Du får också information om de största förändringarna med GDPR. Observera att artikeln inte är uttömmande. Du kommer att behöva ta reda på mer information om vad som gäller för just din verksamhet.

Vad räknas som personuppgifter?

Personuppgifter är de uppgifter som direkt eller indirekt kan identifiera en fysisk person. Personuppgifter kan vara namn, adressuppgifter, e-postadress, personnummer, bilder, IP-adress eller mobil-ID. Det kan även vara genetisk data eller biometrisk data såsom fingeravtryck eller ansiktsigenkänning.

7 steg som hjälper dig att klara GDPR-anpassningen

1. Undersök hur ni lagrar och behandlar personuppgifter i dag

Undersök som första steg hur ni lagrar och behandlar personuppgifter i dag och vilka effekter som General Data Protection Regulation, GDPR, kommer att få för er verksamhet. Viktiga frågor att ställa sig är:

  • Var lagras och behandlas personuppgifter? På interna servrar, i mobila enheter, i molnet, i e-post eller i appar?
  • Vilken datasäkerhet finns i dag?
  • Vilka har access till personuppgifterna?
  • Hur skyddas personuppgifterna?

Tänk på att företag i fortsättningen riskerar att få betala betydligt högre böter än tidigare vid bristande efterlevnad av GDPR. I Sverige har de böter som företag hittills har betalat varit blygsamma.

2. Fastställ vem som ska ansvara för datasäkerhet

Om ni inte redan har gjort det – bestäm vem eller vilka som ska ansvara för datasäkerhet.

Om incidenter av allvarligare slag sker ska detta rapporteras till landets tillsynsmyndighet, i Sverige Datainspektionen, redan inom 72 timmar. Det är en fördel om ni har bestämt i förväg vem som i så fall ska göra anmälan så att ni hinner göra den i tid. Vissa organisationer är även skyldiga enligt lag att utse ett officiellt dataskyddsombud.

3. Utveckla policys, regler och instruktioner

Undersök om det finns tydliga policys, regler och instruktioner i ditt företag om vad som gäller när man behandlar personuppgifter. Behöver de ändras eller kompletteras i samband med att GDPR träder ikraft? Tänk också på att skapa rutiner för hur ni ska dokumentera, rapportera och hantera dataintrång och incidenter.

Se även över integritetspolicys och liknande information som ni lämnar till registrerade personer.

4. Träna medarbetarna i datasäkerhet

En mycket viktig, men ofta bortglömd, del är att utbilda medarbetarna att agera på ett säkert sätt när det gäller behandling av personuppgifter. Det handlar om att skapa en kultur där alla är medvetna om datasäkerhet. Detta är en stor utmaning för speciellt mindre företag som inte kan lägga lika mycket resurser på utbildning eller anställa personer med särskilt ansvar för dataskydd. Här blir det extra viktigt med användarvänliga IT-system som underlättar en säker behandling av personuppgifter.

5. Undersök om ni har rättslig grund för behandlingen

Undersök, och dokumentera, att ni har rättslig grund för behandlingen av personuppgifter, så att ni kan visa att ni följer reglerna enligt GDPR. Tänk på att detta gäller all personuppgiftsbehandling. Missbruksregeln kommer inte längre att gälla i och med GDPR.

Personuppgifter får endast sparas så längre de behövs för att uppfylla det ändamål som ni angav när ni samlade in dem. Därför måste ni ha rutiner för att regelbundet radera uppgifter som ni inte längre får behandla. Det gäller även personuppgifter i backuper, vilket kan bli en utmaning rent praktiskt.

6. Ta reda på om ni behandlar känsliga uppgifter

Datasäkerhet är särskilt viktigt vid behandling av känsliga uppgifter, såsom etniskt ursprung, politiska åsikter, religiös tro, medlemskap i fackföreningar, sekretessbelagda uppgifter eller uppgifter om sexualitet och hälsa. I dessa fall gäller särskilda regler. Särskilda regler gäller även för behandling av barns personuppgifter.

7. Undersök om era befintliga IT-system är anpassade efter GDPR

IT-systemen behöver vara utformade så att de kan ge det integritetsskydd som GDPR kräver. Ni ska till exempel kunna:

  • Korrigera, ändra eller radera personuppgifter i enlighet med de rättigheter som de registrerade har enligt GDPR.
  • Upptäcka och rapportera dataintrång, läckage eller andra incidenter som berör personuppgiftshanteringen.
  • Visa att ni behandlar personuppgifter i enlighet med GDPR.

Vid inköp av nya IT-system ska ni kontrollera att systemet möjliggör laglig behandling av personuppgifter. Leverantören bör ha utformat IT-systemet enligt ”privacy by design”, eller inbyggd integritet. Det innebär bland annat att leverantören har tagit hänsyn till datasäkerhet och integritetsfrågor redan vid utvecklingen av IT-systemet.

Säkerhetsaspekter som IT-systemet bör tillgodose är:

  • Inställningar som kan anpassas så att av mängden personuppgifter som samlas in eller behandlas minimeras.
  • Funktioner för att radera uppgifter som inte längre får behandlas.
  • Behörighetsstyrning så att enbart de som behöver uppgifterna för att utföra sitt arbete har åtkomst.
  • Stark autentisering vid inloggning när personuppgifter ska behandlas.
  • Skydd av personuppgifter när de skickas eller lagras, till exempel på olika enheter eller i molnet, exempelvis genom kryptering.
  • Distansradering av uppgifter eller spärrning av enheter som tappas bort eller blir stulna.
  • Begränsning av vilka appar som kan användas vid behandling av personuppgifter.

De viktigaste förändringarna med GDPR

General Data Protection Regulation, GDPR, omfattar alla företag, organisationer och myndigheter som behandlar EU-medborgares personuppgifter, i vissa fall även företag och organisationer med säte utanför EU.

GDPR gäller för både den som är personuppgiftsansvarig (ditt företag) och så kallade personuppgiftsbiträden som anlitas för att på olika sätt hantera personuppgifter (till exempel en leverantör av molntjänster). I dessa fall ska ett så kallat personuppgiftsbiträdesavtal tecknas. Både den personuppgiftsansvarige och personuppgiftsbiträdet ansvarar för att reglerna inom GDPR följs.

Särskilda villkor gäller om ditt företag vill överföra personuppgifter till ett land utanför EU/EES.

Kraftigt höjda böter vid bristande efterlevnad

Det har inte kostat särskilt mycket för företag att bryta mot personuppgiftslagen, PUL. Det ändras däremot med GDPR, som slår fast att företag kan straffas med böter på upp till 20 miljoner euro eller upp till fyra procent av omsättningen om företaget avsiktligt eller oavsiktligt har underlåtit att följa GDPR. Ju allvarligare överträdelse, desto högre böter. Datainspektionen är den tillsynsmyndighet i Sverige som kommer att fatta beslut om böter.

Mycket i GDPR liknar de regler som finns i PUL, som företag i Sverige hittills har förhållit sig till. Ni måste till exempel undersöka att det finns en rättslig grund för behandlingen av personuppgifter. Utgångpunkten i både PUL och GDPR är att företaget inte ”äger” personuppgifterna utan endast får använda dem för ett visst ändamål som individen ska informeras om när man samlar in dem. När ändamålet för behandlingen av personuppgifterna har upphört får de inte längre behandlas utan ska raderas.

Missbruksregeln försvinner

Den så kallade missbruksregeln, som i Sverige enligt PUL medger enklare regler för behandling av personuppgifter i ostrukturerat material (såsom löpande text, ljud, bild, listor eller e-post) försvinner med GDPR. Det innebär att ni måste ha rättslig grund för all behandling av personuppgifter.

Ökad transparens och förbättrat integritetsskydd för de registrerade

Redan när personuppgifter samlas in kräver GDPR att ni informerar om ändamålet med behandlingen. Det kan till exempel vara marknadsföring, fakturering eller för att teckna ett avtal med den registrerade. Det krävs i vissa fall även aktivt samtycke av den registrerade. Ni ska även informera om hur länge uppgifterna kommer att behandlas och att de registrerade har möjlighet att lämna klagomål till Datainspektionen om de anser att behandlingen av personuppgifter är felaktig.

De registrerade har också rätt att få tillgång till sina uppgifter och att få felaktiga uppgifter rättade. Det innebär även att om ni har lämnat ut felaktiga uppgifter till en annan part så måste denne informeras för att kunna rätta sina register. De registrerade har också rätt att i vissa fall invända mot behandling av personuppgifter, till exempel att de används för direktmarknadsföring eller automatisk profilering. De har också rätt att få sina personuppgifter flyttade, till exempel till en annan tjänsteleverantör.

Informationen kan exempelvis sammanställas i en integritetspolicy eller personskyddspolicy som finns enkelt tillgänglig för de registrerade.

Ökade krav på datasäkerhet

Företag och organisationer som behandlar personuppgifter får ett större ansvar för att skydda dem från dataintrång eller läckor. Om det är fråga om känsliga uppgifter med stora integritetsrisker, exempelvis uppgifter om hälsa, etniskt ursprung samt politisk eller religiös tillhörighet, ställs bland annat särskilda krav på datasäkerhet. I dessa fall måste ni enligt GDPR göra en konsekvensbedömning av datasäkerheten och vilka åtgärder som kan behövas för att minska riskerna. Om riskerna är stora måste ni dessutom samråda med Datainspektionen innan behandling av personuppgifter påbörjas.

Myndigheter, organisationer som behandlar känsliga uppgifter eller organisationer som regelbundet och systematiskt övervakar de registrerade i stor omfattning ska även utse ett dataskyddsombud. Dataskyddsombudet har bland annat i uppgift att informera och ge råd om dataskydd, övervaka efterlevnaden av GDPR och samarbeta med tillsynsmyndigheten i dataskyddsfrågor.

Obligatoriskt att rapportera allvarliga incidenter såsom dataintrång

Alla incidenter såsom läckor, dataintrång eller andra brott mot personuppgifter ska dokumenteras. Om incidenten innebär en risk för de registrerades rättigheter och integritet ska händelsen anmälas till Datainspektionen inom 72 timmar. Om risken är stor att de registrerades drabbas negativt, exempelvis risk för ID-kapning, diskriminering eller bedrägerier, så ska även de registrerade underrättas.

Ansvarsskyldighet

En viktig princip enligt GDPR är ansvarsskyldighet. Företag och organisationer måste ta aktivt ansvar för att GDPR följs och måste också kunna visa det. Ett exempel kan vara att utveckla särskilda policys, regler och instruktioner. Ett annat att man använder IT-system med inbyggda lösningar för integritetsskydd.

Förenkla din GDPR-anpassning med M365

Dustin Group

Den här artikeln kommer från Dustin Solutions Kunskapsbanken. Där hittar du massor av kunskap och inspiration om de senaste IT-trenderna.