Därför är data mer värdefullt än någonsin- se till att du har koll

Det finns ingen anledning till att få panik över EU:s nya regler för personuppgifter.

Jens Nüchel Petersen. Foto: PETER HOLM FOTO

Kraven i EU:s nya persondataförordning kan verka överväldigande för många verksamheter. Men en strukturerad metod är ett bra botemedel mot GDPR-paniken. Det menar Jens Nüchel Petersen som är seniorkonsult på IBM.

Nu är det mindre än ett år till EU:s nya dataskyddsförordning GDPR träder i kraft. Men det råder fortfarande en osäkerhet bland många företag om hur de ska uppfylla kraven i de nya reglerna och inte minst vad det kommer att kosta.

Men trots att det närmar sig finns ingen anledning till panik, säger Jens Nüchel Petersen. Man kan nämligen komma långt genom att utbilda sina medarbetare hur de kan hitta kunskap om vad den nya förordningen innebär.

- Om du arbetar inom transportbranschen känner alla till reglerna för hur man ska hantera lastbilar med släp. På samma sätt bör alla veta att det finns vissa regler för hur man ska lagra och hantera persondata. Vi behöver bara veta var vi ska vända oss för att få informationen, säger Jens Nüchel Petersen.

Därför är det viktigt att bolaget känner till principerna för GDPR. Om kunskapen begränsas till en viss grupp anställda blir skydd av persondata inte en del av verksamhetens affärskultur, menar han.

- Man måste vara införstådd med att fokus på känsliga personuppgifter är ett viktigt område för verksamhetens välmående. Därför är det också viktigt att ledningen backar upp detta, säger seniorkonsulten.

- Det måste finnas en rutin för verksamheten för att analysera riskerna med felaktig hantering av personuppgifter, både när du byter system eller när du startar upp något nytt, säger han.

Däremot har han förståelse för att det kan verka omöjligt att sätta sig in i komplicerade regler, eller att ta reda på vad du ska börja med att ta itu med. Han rekommenderar att man fokuserar på områden där personuppgifter är avgörande för verksamheten.

- Ta reda på vilka uppgifter du har och hur dataflödet ser ut i din verksamhet. Finns det några uppgifter du inte behöver, eller har du data som du inte har tillåtelse att lagra efter den 25 maj nästa år? Då måste du skapa en uppsättning regler för datahantering. Detta inkluderar även säkerhet och åtkomstkontroll, kryptering samt pseudonymisering där persondata och annan information som kan användas för identifiering separeras från mer känsliga data, säger Jens Nüchel Petersen. Han understryker även att de nya reglerna enligt honom är ett framsteg, både för medborgarnas rätt till integritet och företagens möjlighet att använda data på ett ansvarsfullt sätt.

- Det skiljer sig inte särskilt mycket från det vi redan ser inom finansbranschen och läkemedelsindustrin, som präglas av mycket strikta riktlinjer och policies som ska uppfyllas. Det blir nu utbrett att fokusera på att undvika missbruk av EU-medborgarnas privata uppgifter. Allaverksamheter, dataprocessorer, dataansvariga och datatransportörer har en uppsättning regler för hur de arbetar med dessa uppgifter, förklarar seniorkonsulten. Och det är hög tid att lagstiftarna hänger med, säger han med hänvisning till de nuvarande reglerna togs fram 1995.

- Det har ju hänt mycket med tekniken sedan dess.

Ett av de områden där GDPR innebär hårdare regler är kravet om att verksamheter måste få samtycke från användare och medborgare innan de kan börja behandla deras data. Därför är det också bra att börja här när man analyserar dataflödet i sin verksamhet.

- Data är mer värdefullt än någonsin och verksamheter sitter ofta på data som de har hämtat in i många olika sammanhang. Men GDPR innehåller helt nya krav till samtycke från kunder och användare, exempelvis om man vill profilera användare baserat på deras persondata. Och det finns också regler för hur länge man kan behålla och lagra data. Det innebär att man endast får lagra data så länge det är nödvändigt, avslutar Jens Nüchel Petersen.

Annons

GDPR

Varför:
EU:s dataskyddsförordning (GDPR) syftar till att stärka skyddet för medborgare, slutkunder och användares personuppgifter bland annat för att förebygga cyberkriminalitet – men också för att reglera företags kommersiella användning av personuppgifter.

Hur:
EU:s GDPR innehåller regler om när och hur personuppgifter kan och måste behandlas, vilka uppgifter man har som personuppgiftsansvarig och behandlare av personuppgifter, och hur man ska dokumentera användning av personuppgifter. Exempelvis:

• Löpande konsekvensbedömning och samtycke
• Möjlighet till myndighetsinspektion
• Rapporteringsskyldighet vid personuppgiftsincidenter (dataintrång) inom 72 timmar
• Utfärda böter på upp till 20 miljoner euro eller fyra procent av det registeransvarige företagets globala omsättning

Målet är att stärka förtroendet för leverantörer av tjänster och produkter, som i varierande grad bygger på insamling av personuppgifter, som i många fall kommer att ha en digital komponent.

Reglerna handlar alltså inte om industrispionage eller stöld av produktinformation samt immateriella rättigheter.

När:
• Förslaget till EU:s GDPR togs fram december 2015
• Trädde formellt i kraft maj 2016
• De nya reglerna träder i kraft maj 2018

Annons