Vad behöver kartläggas? Vad behöver göras?
GDPR ställer ledningen inför utmaningar

Av Christer Dalsbøe, Stine Strandvik, Henning Dahl och Stein Opsahl - Strategiska rådgivare vid Knowit Experience

Som företagsledare ansvarar du för att företaget följer lagar och förordningar och detta gäller även EU:s nya lag om personlig integritet som träder i kraft i maj 2018. ”Att göra”-listan involverar både jurister, tekniker och specialister på (digital) kommunikation men ni kan göra mycket av själva kartläggningen själva.

Bakgrund

Den allmänna dataskyddsförordningen, GDPR, innehåller nya krav från EU på behandling och användning av känsliga personuppgifter och annan personlig information. EU:s nya regler ersätter en föråldrad lagstiftning. Syftet är att stärka medborgarnas rätt till personlig integritet. Nya inslag är att den juridiskt ansvarige får ekonomiskt ansvar för eventuella påföljder (dvs. ”koncernmodellen”). Därför måste alla verksamheter uppfylla kraven i GDPR när den nya EU-förordningen träder i kraft den 25 maj 2018.

 

Den nya EU-förordningen är en uppstramning och förstärkning av nuvarande regelverk. Sanktionerna i form av böter kommer att läggas på en helt ny nivå, potentiellt så höga som två till fyra procent av företagets globala topplinje. Vi kan vänta oss att myndigheternas tillsyn kommer att skärpas i både Norge och inom EU.

 

Knowit har ett antal pågående GDPR-relaterade uppdrag i Norden som baseras på en helhetssyn där vi placerar teknik, kommunikation, användare och lagstiftning i samma kontext. Vi räknar med stor efterfrågan på våra GDPR-auktoriserade utvecklare, copywriters och kommunikationsrådgivare fram till 25 maj 2018. 

Olika företag, olika behov

För verksamheter som baserar sin verksamhet på abonnemang och längre kundrelationer, företrädesvis på konsumentmarknaden, innebär GDPR bara mer av samma som tidigare. Den nya förordningen öppnar upp för att kunder och konsumenter, om de så önskar, får rätt att få information raderad som ni har lagrat i företagets databaser.

Den bästa lösningen är att skapa en effektiv, öppen, ärlig och digital kunddialog. GDPR ger kunderna/medborgarna mer makt och ni kommer sannolikt behöva göra ändringar på systemsidan, som att utveckla kund-API:er mellan olika aktörer.

 

GDPR handlar om en digital kunddialog

GDPR är en stor möjlighet för marknaden och erfarna företagsledare som förstår sina kunder har inte så mycket att oroa sig för. I praktiken handlar det om att vara öppen och ärlig mot kunderna.

I slutändan innebär GDPR att ni måste tänka ännu mer på det som engelsmännen kallar ”privacy by design”. Det betyder att man har den personliga integriteten som central utgångspunkt när man utvecklar verksamheten. Detta är en mycket aktuell fråga och något som nu blir obligatoriskt eftersom den teknik som används ger så många möjligheter till att bryta mot GDPR. Kundens rätt till att bli informerad understryker behovet av öppenhet när det gäller hur ni hanterar och använder personuppgifter.

 

Utmaningar rörande samtycke och praktiska konsekvenser

Om ni skickar sms eller e-post utan rättslig grund kan ni bötfällas och reglerna kommer särskilt att drabba verksamheter som inte har tillräckligt tydliga samtycken till sin elektroniska kommunikation. Man kan inte heller längre hänvisa till ”befintliga kundrelationer” och ”liknande varor och tjänster” för att kunna göra undantag från kravet på samtycke. Så om ni har sålt ett elavtal till en kund kan ni inte senare skicka e-post till kunden med reklam för ett mobilabonnemang.

Nya sanktionssystemet ger Konsumentverket rätt att ta ut straffavgifter direkt i flera typer av fall. Det stora antal som inte bara kommunicerar i ”befintliga kundrelationer” och om ”liknande varor och tjänster” som ”kundrelationen bygger på” måste alltså säkra samtycke. För många verksamheter innebär detta i praktiken att ett nytt samtycke måste inhämtas. Dessa och andra krav innebär att nya system måste etableras fram till maj 2018.

 

Så, hur ska man kommunicera med kunden?

Rätten till att bli informerad innebär att användarna ska förses med detaljerad information om hur deras personuppgifter behandlas. Här är det viktigt att använda ett enkelt språk och berätta för användaren vilka ni är, varför ni behandlar deras uppgifter, hur länge de kommer att sparas och vem som får ta del av dem.

Detta är en av de centrala punkterna i GDPR och något som nödvändiggör att informationen är ”kortfattad, ärlig, lätt att förstå och lättillgänglig” och skriven på ett klart och tydligt språk. 

Vid användning av på förhand ifyllda kryssrutor kan ni dömas till böter. Dessutom har kunderna alltid ogillat sådana, vilket kanske är ännu viktigare. GDPR är en större utmaning för verksamheter som inte vet så mycket om sina kunder än för företag som har bästa möjliga kundupplevelse som rättesnöre.

 

Se GDPR som en möjlighet

Ytterligare ett syfte med GDPR är att motverka hot som cyberattacker och identitetsstöld, vilket innebär att företagens normala kommunikationskanaler är hotade. Det finns många bra lösningar som både tillvaratar företagens behov av effektiv, digital kunddialog och uppfyller de nya säkerhetskraven. GDPR är helt enkelt en möjlighet för verksamheter att visa att de vidtar nödvändiga åtgärder för att säkra konsumenternas personliga integritet och sin egen datasäkerhet.

Frågor ni måste kunna besvara  

1. Vilka uppgifter finns insamlade idag, vilka behöver vi egentligen och var finns dessa uppgifter lagrade?
2. Har vi en digital logg över hur vi fick samtycket första gången och hur samtyckets livshistoria ser ut? (Om inte måste vi skaffa samtycke från kunden vid varje nytt tillfälle.)
3. Samlar vi bara in minimalt med (viktig) information eller för mycket?
4. Är vi beredda på frågor från användare som önskar radering, redigering eller flytt av personuppgifter? Har vi rutiner för detta?
5. Vet vi processen för säkerhetskopiering ska hanteras så att vi inte på nytt laddar upp information för en användare som har begärt radering?
6. Används personnummer, medlemsnummer, mobilnummer, fordons registreringsnummer eller annan känslig information som nyckel mellan tabeller och system?
7. Vet vi hur man skapar anonymiserade uppgifter som kan användas som testdata?
8. Är vår åtkomstkontroll tillräcklig för att säkra att informationen hålls konfidentiell?
9. Tillämpas Privacy by Default för program- och systemutveckling?
10. Har vi utvärderat konsekvenserna av dataintrång för våra användare

Vem ska göra vad?

”Att göra”-listan involverar som nämnts tidigare både jurister, tekniker och specialister på (digital) kommunikation. 

1. Ni måste kartlägga var och hur ni lagrar personuppgifter, om datasäkerheten är tillfredsställande och hur ni använder personuppgifter.
2. Granska de avtal ni har med datarelaterade leverantörer (CMS, hosting, kontorssupport, konsulter osv.)
3. Granska praxisen för prestandabaserad marknadsföring (Google AdWords, Analytics, Facebook osv.), kundkommunikation och annan digital marknadsföring.
4. Granska praxis avseende integritetspolicy, samtycke, radering, bärbarhet osv.
5. Revidera och stärk rutiner för internkontroll (överensstämmelse), inklusive rutiner beträffande registrering vid förfrågningar och brott mot regelverket.
6. Definiera tydliga ansvarsområden och roller på området för personlig integritet (enhetligt) och klargör om ni behöver en särskild integritetsombudsman

10 skäl till varför GDPR är viktigt

1. Överstatlighet inom EU och EES
2. Lagen påverkar många olika uppgifter
3. Lagen gäller även utanför EU/EES
4. Lagen gäller databehandlare i samtliga led; även anställda i t.ex. USA eller vid outsourcing till Indien
5. Genomgående fokuseras på ansvarstagande. Beställare, program osv.
6. Enskilda individers rättigheter stärks och många företag får städa upp i sina CRM-system
7. Brott mot behandlingsskyldigheterna måste meddelas senast inom 72 timmar
a. Med känslig information avses ras, religion, hälsa och sexuell läggning (t.ex. om närmast anhörig till Peder heter Jens)
8. Många företag behöver utse en integritetsombudsman på koncernnivå
a. Det går även att utse egna ombud i dotterbolag
9. Dataexport kommer i många fall vara svårt
a. Ska vara krypterad (https, vpn osv)
b. Måste även kryptera lagrade personuppgifter. Exempelvis en outsourcad resurs i Indien som kan komma åt filer i Norge
10. Lagen ger möjligheter till stora böter vid allvarliga överträdelser. Tillsynsmyndigheten kan utfärda böter på upp till fyra procent av koncernens globala omsättning
a. Datainspektionen läggs ned i oktober 2017 och återuppstår som EU:s DPO – Data Protection Officer (dataskyddsombud) eller integritetsombudsman
b. I praktiken kan en norsk tillsynsmyndighet besluta om vi gör något fel i Sverige, och vice versa

Både uppgifter, program och processer måste kartläggas

Uppgifter
1. Vilka uppgiftskategorier har företaget?
2. Kan databaser och filer slås samman och reduceras?
3. Övervakas, dokumenteras och beskrivs flytt av uppgifter?
4. Har man ett aktivt samtycke från registrerade användare idag?
5. Har registrerade användare möjlighet att redigera information om sig själva?
6. Är uppgifterna krypterade ”in situ” och ”in transit”?

Program
1. Vilka program behandlar berörd information i företaget idag?
2. Övervakas, dokumenteras och beskrivs flytt av uppgifter för programmen?
3. Har man ett aktivt samtycke från registrerade användare idag för varje enskilt program?
4. Har registrerade användare möjlighet att redigera information om sig själva i programmen?
5. Ingår Security by Design i programmet? (Konfidentialitet, integritet och tillgänglighet.)
6. Har hot och risker tagits hänsyn till under programutvecklingen?
7. Har man tagit hänsyn till Privacy by Design i programmet?
8. Hur behandlas barns samtycke?
9. Är grunden för insamling av specifik information väl beskriven?
10. Kan användare be att få se vilken information som har samlats in?
11. Kan användare be att få redigera informationen om sig själva?
12. Kan användare begära att information om sig själva raderas (utan att bryta mot andra lagkrav)?
13. Hålls datainsamlingen till ett minimum och tillämpar man transparens, aktivt samtycke, proaktivt skydd av insamlade uppgifter i form av kryptering osv. i programmet?

Processer och dokumentation av genomförandet av styrnings- och kontrollverksamhet.
1. Är avtalen med databehandlare och deras underleverantörer kartlagda och dokumenterade?
2. Kan databehandlaren tillhandahålla dokumentation av kontrollaktiviteter?
3. Genomförs en riskbedömning av hur viktiga programmet/uppgifterna är?
4. Finns rutiner för incidentrapportering?
5. Föreligger en rutin för att kunna ta fram en användares information på begäran?

Kontakta oss
Stein Opsahl
VP Strategisk rådgivning i Knowit Experience

Terminologi 

  • Data Subject (den registrerade)
    • Den person vars uppgifter samlas in och som kan identifieras, direkt eller indirekt, via dessa uppgifter.
  • Data Controller (registeransvarig)
    • Den organisation som definierar anledningen till datainsamlingen
    • Den som bestämmer hur uppgifterna samlas in och behandlas
    • Den som är direkt ansvarig för datalagringen
  • Data Processor (databehandlare)
    • En person eller en enhet som agerar på uppdrag av registeransvarig för att spara eller behandla informationen
    • Exempel:
      • konsultföretag
      • outsourcingföretag
      • lagringsleverantör utifrån
      • molnleverantör
      • marknadsföringsorganisation som driver tillfälliga kampanjer
  • Tillsynsmyndigheter (reglerande organ)
    • Offentliga organ upprättade av myndigheterna i EU-länderna som ger råd till registeransvariga och registrerade om lagen och om tillämpningen av regleringen.
    • De kan utreda överträdelser och bötfälla registeransvariga och ”Data Processor”.
    • Ibland refererar man till dessa som Data Protection Authorities (DPA), dataskyddsmyndigheten.
  • Data Protection Officer – DPO (personuppgiftsombud )
    • En integritetsombudsman som ska utses för
      • Offentliga myndigheter
      • Verksamheter där Data Controller och Data Processor regelmässigt och systematiskt övervakar registrerade i större skala
      • Enheter där en verksamhet i stor skala behandlar känsliga personuppgifter
    • Formuleringen ”fler än 250 anställda” har tagits bort i det nya regelverket.
  • Personuppgifter
    • Namn, adress, födelsedatum, personnummer, personlig e-postadress,
    • Företagets e-postadress och telefonnummer.
    • Nätidentifierare från olika ”enheter” och dataprogram, inklusive IP-adress, informationskapslar och andra identifierare som RFID-koder.
    • Uppgifter som används ensamma eller tillsammans med andra uppgifter för att identifiera en individ/person.
  • Känsliga personuppgifter
    • Genetiska eller biometriska uppgifter
      • Fysisk eller psykisk hälsa
      • Ras eller etniskt ursprung
      • Politiska åsikter
      • Fackföreningsmedlemskap
      • Religiös eller filosofisk övertygelse
      • Sexuella preferenser
    • Uppgifter om kriminella handlingar och utmätta straff behandlas separat (i direktiv 2016/680). Kan bara behandlas av nationella myndigheter.
Till toppen