GDPR Är du förberedd på nya Dataskyddslagen?

Vad är GDPR? General Data Protection Regulation är EU:s nya dataskyddslag och innebär att det är varje individs rättighet att veta vad som händer med dennes personuppgifter. Därför kommer det att krävas total transparens gentemot individen om hur företag använder personuppgifter. Med andra ord: det gäller att hålla koll på sina processer och den information som hanteras. 

GDPR – böter, PUL och införande

Från den 25 maj 2018 gäller den nya Dataskyddslagen (GDPR) som är ett helt nytt regelverk som ska ersätta Personuppgiftslagen (PUL). Det gäller alla företag som har uppgifter rörande privatpersoner. Om man inte uppfyller de nya kraven som kommer att ställas riskerar man vite på upp till 4 % av den totala koncernomsättningen.

”Det här kommer att innebära stora förändringar för väldigt många företag”, säger Astrakans lärare Martin Hidefjäll, expert på process- och informationsmodellering och som nu hjälper företag att prioritera i GDPR-införandet, samt att hitta rätt metodramverk för att klara övergången.

Hela verksamheten berörs av GDPR

Det är många delar i verksamhetens som berörs, man måste till exempel se över avtal, policyer, regler och säkerhetsdokumentation. Man måste gå igenom centrala processer i verksamheten; försäljning, ekonomihantering och leverans. Och tills sist behövs en genomgång av berörda IT-system. Och här är det inte bara CRM-systemet eller kunddatabasen utan all form av IT som berör kunderna, mail, bilder, filmer, allt. Dessutom måste all dokumentation som inte är IT-stödd också dokumenteras, som exempelvis handskrivna brev och lappar.

All behandling av personuppgifter som görs måste beskrivas och dokumenteras, oavsett om det är en direkt kundorder, en flyttning av information från en del av systemet till en annan, en marknadskampanj då namn och adresser printas på brev och skickas ut eller om företaget sålt vidare kundinformation till annan part. Om individen vill veta vad företaget har för information och vad man gjort med den ska hen få det, i det format som individen önskar och i rimlig tid. Inte nog med det – en individ måste lämna ett aktivt samtycke för att företaget ska få spara individens uppgifter.

GDPR - förändringar/to do

  • Se till att ni har ett uppdaterat säkerhetssystem kring databasen.
  • Använd gärna pseudonymisering av databasen för att minska risken för otillåten behandling.
  • Kontrollera var ni sparar personuppgifterna rent fysiskt.
  • Gå igenom vilka integritetsrisker det finns vid behandlingen av personuppgifter.
  • Se till att det finns uppdaterade säkerhetskopior.
  • Se till att lägga in kontroller vid utvecklingen av nya system som tar upp frågan om behandling av personuppgifter. Involvera dataskyddsombudet tidigt i processen.
  • Ta fram rutiner för hur man inom företaget ska agera om en personuppgiftsincident sker.
  • Uppdatera programvaran med jämna mellanrum.
  • Se till att det är svårt att exportera personuppgifter till andra, icke godkända, system.

GDPR innebär anmälningsplikt till både kund och Datainspektionen

Dessutom måste det finnas en person i varje organisation som är personuppgiftsansvarig. Denna person ska kunna agera fritt från den operativa ledningen och vara Datainspektionens kontakt i företaget. Alla eventuella incidenter ska anmälas till både individen och Datainspektionen, vilket ger stor insyn i verksamheten som man tidigare har kunnat dölja.

”Allt detta ställer krav på både organisationen och processerna i verksamheten. De företag där man arbetar med process- och informationsmodellering kommer att ha lättare att driva igenom nödvändiga förändringar. Inte i det att arbetet minskar, man ska igenom samma faser, men vanan att utveckla verksamhetens processer med hjälp av exempelvis Astrakanmetoden gör att det blir enklare att förstå orsaker och sammanhang”, säger Martin. I sin roll som VD och konsult på företaget Aptly Consulting har Martin 20 års erfarenhet av införande av denna typ av regelverk i olika typer av organisationer.

Martin Hidefjäll

Det nya sättet att arbeta på ska vara klart och fungerande den 25 maj nästa år och har man inte börjat så är det hög tid att sätta igång nu.

Kurser som är till hjälp för att möta GDPR

Många verksamheter har insett att de behöver kartlägga både information och processer på en annan nivå än tidigare för att säkerställa att man möter kraven. Här är kurser vi vill rekommendera:

Artikelförfattare: Christina Varenius, kommunikatör och författare till ”marknad vs. sälj: uppgörelsen”