Så kan nya regler för persondata skapa bättre överblick över dina verksamhetsprocesser

EU:s persondataförordning ställer högre krav på att kunna säkerställa data från kunder och samarbetspartners. Men de nya reglerna kan också ge verksamheter och myndigheter möjlighet att optimera sina affärsprocesser.

Persondata er guld værd

Att leva upp till det nya regelverket för EU:s persondataförordning (GDPR) är inte bara en fråga om att bygga nya it-system med högre säkerhet. Arbetet med att säkerställa att man uppfyller de nya, hårdare reglerna bör istället baseras på de verksamhetsprocesser som involverar personuppgifter.Det menar Søren Wolder som är advokat och partner på DAHL Advokatfirma och expert inom persondatarätt.

- De nya reglerna innebär att verksamheter och myndigheter i högre utsträckning behöver se persondata som ett tillfälligt lån. Därefter måste man antingen radera informationen eller lämna tillbaka den. För att leva upp till reglerna (compliance), krävs det att du får en överblick över de affärsprocesser där personuppgifter används, säger Søren Wolder.

- Som verksamhet måste man vara säker på att ha en grund för databehandlingen som görs. Det är också viktigt att respektera de principer som anges i reglerna. Men det är inte it-avdelningen som bestämmer hur data används. Det sker istället hos ledningen, som gärna vill skapa en automatiserad affärsprocess. Ofta överlåts dock uppgiften till it-avdelningen. Men de ansvarar bara för den enda tekniska och säkerhetsmässiga biten och vet inte nödvändigtvis hur informationen samlas in och behandlas, eller vem som kommer att ha tillgång till uppgifterna. Det ligger hos ledningen, säger advokaten.

Han ger tre tips på hur man angriper processen för att leva upp till de nya EU-reglerna.

- Se till att förankra uppgiften i organisationen. De flesta verksamheter har tidigare inte förhållit sig till problemet. De har ingen aning om vilken data de har tillgång till, hur den används och vilka underleverantörer de har. Det finns ingen struktur som kan ge den nödvändiga överblicken, säger Søren Wolder.

- Därför ska detta genomföras som ett separat implementeringsprojekt där den första uppgiften är att förankra arbetet inom organisationen. Se till att det finns en person som är ansvarig för att driva detta och att det finns de pengar och resurser som krävs. Det måste finnas ett tydligt ägarskap som backas upp av ledningen, oavsett projektets omfattning, säger han.

- Säkerställ att uppgiften är förankrad i organisationen, säger advokaten Søren Wolder om de ny reglerna i EU:s persondataförordning.

Hans andra råd är att utarbeta en översikt över sina databehandlingsaktiviteter.

- När man kartlägger användningen av personuppgifter får man också en bild av sina affärsprocesser. Det ger en överblick över de utmaningar du står inför, var data lagras, hur kritisk din data är och hur data interagerar med andra dataprocessorer", säger Søren Wolder, som därmed kommit fram till sitt tredje råd. Gör en riskbedömning för varje affärsprocess som innefattar behandling av personuppgifter:

- Riskbedömningen innebär att man är mycket bättre rustad när man måste bestämma vilka säkerhetsåtgärder man behöver ha på plats för att säkra sin data.

- Med en riskbedömning kan man också fastställa ambitionsnivån på ett enklare och mer välgrundat sätt, säger advokaten.

- Många anser att de bara behöver hålla sig ovanför vattenytan, så att de klarar dataskyddsmyndighetens krav med nöd och näppe. Men man kan också välja att se persondataförordningen som en strategisk möjlighet som skapar högre förtroende hos kunderna, betonar Søren Wolder.

Han lyfter samtidigt fram en rad negativa konsekvenser som uppstår när data äventyras. 

- EU:s persondataförordning gör det möjligt att utfärda böter i samband med dataläckor. Om verksamheten upplever en säkerhetsöverträdelse finns det i vissa fall ett rapporteringskrav. Det kan leda till dålig publicitet. Man kan också få order att sluta driva en specifik process tills man har fått ordning på situationen. Om det drabbar en kärnverksamhet är det ett allvarligt problem, säger han.

- Det finns två tillvägagångssätt när det kommer till att hantera frågan. Man kan välja att på egen hand fokusera på att leva upp till reglerna. Men det kan också vara en vinst med att använda det som anledning till att uppgradera sina it-system eller att optimera sina affärsprocesser. Man kanske upptäcker att man kan undvika en viss process, att det är möjligt att rensa upp i vissa system eller att det går att göra saker smartare, samtidigt som man minimerar risken för att data äventyras, avslutar Søren Wolder.

Annons

GDPR

Varför:
EU:s dataskyddsförordning (GDPR) syftar till att stärka skyddet för medborgare, slutkunder och användares personuppgifter bland annat för att förebygga cyberkriminalitet – men också för att reglera företags kommersiella användning av personuppgifter.

Hur:
EU:s GDPR innehåller regler om när och hur personuppgifter kan och måste behandlas, vilka uppgifter man har som personuppgiftsansvarig och behandlare av personuppgifter, och hur man ska dokumentera användning av personuppgifter. Exempelvis:

• Löpande konsekvensbedömning och samtycke
• Möjlighet till myndighetsinspektion
• Rapporteringsskyldighet vid personuppgiftsincidenter (dataintrång) inom 72 timmar
• Utfärda böter på upp till 20 miljoner euro eller fyra procent av det registeransvarige företagets globala omsättning

Målet är att stärka förtroendet för leverantörer av tjänster och produkter, som i varierande grad bygger på insamling av personuppgifter, som i många fall kommer att ha en digital komponent.

Reglerna handlar alltså inte om industrispionage eller stöld av produktinformation samt immateriella rättigheter.

När:
• Förslaget till EU:s GDPR togs fram december 2015
• Trädde formellt i kraft maj 2016
• De nya reglerna träder i kraft maj 2018

Annons