Klockan tickar för GDPR – men Kon-IT hjälper dig hela vägen

Den 25 maj 2018 inträder den nya EU-förordningen GDPR (General Data Protection Regulation) som reglerar lagring av personuppgifter. GDPR ersätter PUL (Personuppgiftslagen) och kommer att innebära förändringar för alla företag och organisationer inom EU.

GDPR är allvar och det är bråttom

Förenklat kan man säga att PUL inte följs idag, sannolikt för att det är för milda sanktioner för de som bryter mot bestämmelserna. Men det är det slut med nu när personuppgifter lyfts upp och blir en del av de mänskliga rättigheterna. Och det blir dryga böter för de som inte följer GDPR. Närmare bestämt kan du få böta upp till 4% av din omsättning för en större överträdelse (max 20 miljoner Euro).

25 maj 2018 smäller det och datainspektionen som kommer att övervaka GDPR har redan flaggat för att det inte kommer att förekomma någon smekmånad. Faktum är att de nya reglerna tvingar alla att lägga GDPR-frågan högst upp i sin organisation, eller till och med hädanefter sätta en stående punkt i dagordningen för varje styrelsemöte; ”Avstämning GDPR”.

Vad är en personuppgift och vad får man lagra?

Alla uppgifter som direkt eller indirekt kan härledas till en enskild person berörs av den nya förordningen. Naturligtvis är namn, personnummer, adress och e-post exempel på vad man normalt associerar till personuppgifter, men även bildmaterial, telefonnummer, IP-adresser eller registreringsnummer för bilen hör hit.

Från och med 25 maj 2018 behöver du som sagt ha ordning på de personuppgifter du förfogar över, var de sparas, vilka i organisationen som har tillgång till dem osv. Så förutom skärpta rättigheter för enskilda tillkommer utökade skyldigheter på dig som företagare med krav på bl a personuppgiftsombud (dataskyddsombud). Denne inom varje organisation utsedda person måste vid förfrågan – och utan dröjsmål – specificera vad de lagrade personuppgifter ska användas till och hur länge det är tänkt att de ska lagras. Det hela går ut på att när de inte lägre finns en motiverad anledning att behålla en uppgift, så ska de också oåterkalleligt raderas omedelbart.

GDPR datum

GDPR gäller såväl för den digitala som den fysiska världen, så sätt igång och rensa era pärmar omgående. Och glöm inte anteckningarna du gjort i kollegieblocket som du kanske kastat i din skrivbordslåda. Klockan tickar och man vill inte gärna stå med detta i sista stund.

GDPR Tid

Vidare så innebär GDPR också att all lagring och/eller användning av personuppgifter måste godkännas av den individen i fråga. Meningen är att du som privatperson enkelt ska kunna begära att de uppgifter som företaget eller organisationen lagrat gällande dig ska bli raderad ur företagets alla register. (Detta ska ske automatiskt när det inte längre finns någon grund att spara på personuppgifterna.) Förutom möjligheten att som privatperson kunna bli bortglömd, måste varje företag också lagra personuppgifterna på ett sätt så att en flytt till en annan organisation blir enkel att utföra (portability). Detta sammantaget innebär att personuppgifter och information inte får återfinnas på flera ställen inom organisationen, utan istället endast återfinnas i en separat personakt. Naturligtvis väl skyddad från diverse intrång.

Att BLI GDPR-compliant

En av de största utmaningarna blir naturligtvis att anpassa sina IT-system. Den bästa lösningen för att uppfylla kraven från GDPR är att flytta över hela verksamheten i säkra molnlösningar med dubbelautentiserad inloggning, krypterad digital kommunikation samt noggrann styrning av dokumenträttigheter. Här har marknaden kommit långt och det finns flera system som uppfyller kraven. Kon-IT har valt att bland annat erbjuda Microsofts säkerhetslösningar och helst i samband med en IT-policy som hjälper slutanvändaren att agera enligt GDPR.

Vad som är anmärkningsvärt är att så många pratar om nya IT-lösningar, men att så få pratar om hur man som företagare hanterar sin nuvarande situation – det vill säga hur agerar på vägen till att få det nya implementerat. Hur får man ordning på information som är på vift, eller ligger inbakade i andra sammanhang? Något som alla inte har förstått gällande datalagring är också att din data inte försvinner bara för att du pressat på delete-tangenten på ditt tangentbord och tömt papperskorgen. All information finns kvar på hårddisken och är ganska enkel att hämta upp igen om den inte skrivs över. Detta är ett problem som måste lösas eftersom det inte är något som Datainspektionen inte kommer att godkänna. Söker man runt på IT-företagens hemsidor så staplas de fina orden ovanpå varandra om IT-säkerhet och GDPR-säkrade verksamheter, men just detta problem verkar allt som oftast förbises. Ingen vill kännas vid surdegarna och vi har sett att många IT-företag inte alls vill ta i dessa bitar. På sina hemsidor mörkas de initiala problemen om all osorterad data och hur man ska återfinna den och man pratar istället om framtiden och IT-lösningarna för den. Samtidigt är detta förståeligt. Verktygen för att bibehålla verksamheten GDPR-säkrad (GDPR-compliant) när man väl organiserat sina data är ganska etablerade och prismässigt överkomliga (speciellt har just Microsoft kommit lång på den fronten med sina säkra inloggningar och moln-lösningar), medan lösningar som interna sökmotorer med smart mjukvara, som i alla fall skulle kunna göra delar av ett sådan jobb, är betydligt dyrare. Men avsaknaden av dialog stannar inte där, utan även diskussioner om exempelvis formaterade hårddiskar eller annat manuellt jobb uteblir.

Problemet för många verksamheter kommer alltså i stället bli hur man skall ta sig in i en exempelvis säker molnlösning, utan att dra med sig information dit som man inte får äga. Eller med andra ord: Skilj på frågorna om hur BLIR man GDPR-compliant kontra hur STANNAR kvar som GDPR-compliant.

Det riktigt stora problemen uppstår också för företag som på något sätt är hindrade för att gå helt in i molnet, utan tvingas stanna i någon form av hybridlösning. En lösning om man inte manuellt ska behöva gå igen om alla lagringsytor (datorer, servrar, telefoner mm) är att slå en hammare genom varje fysisk enhet i din verksamhet, alternativt formatera varenda disk. Ingen av dessa lösningar brukar vara särskilt välkomna.

GDPR EU