Hur klarar du maktskiftet? GDPR 25 maj 2018 1 2 3 4 5 Fem steg för att framgångsrikt följa GDPR
Tydligt maktskifte Den nya lagen medför ett maktskifte vad gäller rättigheten till hanteringen av personuppgifter om oss som enskilda medborgare. Den nya lagen kommer att ge konsumenter och arbetstagare fulla rättigheter över sina personuppgifter, vilket ger människor möjlighet att kika djupt in i system och processer och ta reda på hur andra lagrar, använder och delar personuppgifter. För tänk ett ögonblick, om det är DU som är registrerad (the data subject). När du köper produkter online eller genomför transaktioner med organisationer vi litar på, förväntar du dig att uppgifterna om dig hanteras säkert och korrekt. Vad denna lag gör är att hjälpa alla dessa organisationer till best practices och de som inte följer lagen kommer att få stränga straff. I vårt digitala och uppkopplade samhälle kommer GDPR i praktiken betyda: Privacy by Design och sekretess som standard. Att det är en centrala del i lagen är viktigt för alla att förstå för att framgångsrikt lyckas med GDPR. GDPR 25 maj 2018 Tänk på att personuppgifter är som att låna en värdefull sak från en vän. Det är aldrig ditt, det är ett lån. Din vän kan kräva att få det tillbaka när som helst och om du vill ge det till någon annan behöver din vän godkänna det. GDPR i praktiken innebär: Privacy by Design och sekretess som standard ( 25) terna under hela livscykeln i applikationer, e-postsystem eller processutveckling. Sekretess (privacy by default) som standard betyder helt enkelt att de strängaste sekretessinställningar skall tillämpas automatiskt när en kund köper en ny produkt eller tjänst. Med andra ord skall ingen manuell ändring av sekretessinställningar krävas av användaren. Det finns också specificerat i den här principen hur länge information får sparas, personlig information får som standard endast bevaras under den tid som krävs för att tillhandahålla en specifik produkt eller tjänst. Varför du behöver den här guiden Den här folder går att vika upp som en affisch med en guide för en process i fem steg för att kartlägga och synliggöra det ni behöver göra för att följa GDPR. Att förbereda sig för GDPR är något positivt, det skapar fokus på varför och hur man hanterar sina kunder och deras personuppgifter. En insikt som skapar affärsfördelar. GDPR är på allvar och innebär samordnade aktiviteter genom hela organisationen. Steg ett handlar om att alla nyckelpersoner i organisationen behöver insikt om vad som kommer att förändras med de nya kraven. I steg två arbetar ni med olika scenarior för att sortera dem i olika prioriteringar. Steg tre innebär att ställa krav på alla underleverantören och sammanställa en plan över alla åtgärder som behöver göras. I steg fyra genomför ni alla förändring- Målet: certifierade appar och tjänster Vid sidan av strategisk organisatorisk omvandling, kommer företagen behöva certifiera sina tjänster och använda verktyg som byggs från grunden att införliva principerna om dataskydd genom Privacy by Design. Flexibla lösningar kommer att krävas för att möjliggöra för företag att utvecklas och anpassas. Det finns redan idag exempel på tjänster och appar som följer GDPR och är utvecklade enligt principen Privacy by Design. All känslig data lagras i en säker molntjänst (SecureAppbox). Målet är att skydda individer och deras personuppgifter samt skapa nya affärsmöjligheter. Genom att fokusera på möjlig- ar, dokumenterar era riktlinjer och ser till att alla nyckelpersoner är informerade. I steg fem går ni i mål och säkrar att det nya beteendet vidmakthålls när er verksamhet utvecklas och effektiviseras i framtiden. Privacy by Design innebär att varje tjänst eller affärsprocess som använder sig av personuppgifter måste ta i beaktande att skydda dessa uppgifter. En organisation måste kunna visa att de har säkerhetssystem på plats och att efterlevnaden kontrolleras. Detta innebär i praktiken att en IT-avdelning måste skydda personuppgifheterna och visa hur man skapar konkurrensfördelar med webtjänster och mobila applikationer så hanterar man utmaningen framgångsrikt. IMR Pro som stödjer behandlare inom psykiatrin och FamijehemSverige.se som rekryterar familjehem till kommuner är två exempel på applikationer som skyddar individen och uppfyller kraven från GDPR.
Engagera ledningen, nyckelpersoner och medarbetare Att skydda individers information ligger i allas intresse, det kommer att vara en stor konkurrensfördel att intyga det efter den 25 maj 2018. För att bli framgångsrik behöver ni se vilka strategiska möjligheter GDPR ger er. Ledningen och medarbetare som arbetar med personuppgifter behöver förstå vilken förändring som är på gång och varför det här är bra för oss som företag. 1 Starta GDPR innebär ett maktskifte där individen stärks. Forma gruppen Vilka personer i er organisation hanterar personuppgifter? Det gäller allt från ansvariga för CRM-system till de som har lokala excelfiler på en enskild dator. Forma gruppen som ska genomföra processen att uppfylla GDPR. Sprid kunskapen till viktiga delar i organisationen. Säkra att alla vet Vet alla hos er vad en personuppgift är? Allting som kan kopplas till en individ är det en personuppgift. Det gäller namn, adress, e-post, personnummer, platsinformation, löneuppgifter, bankuppgifter, foto, hälsoinformation, facklig tillhörighet, uppdateringar i sociala medier, en mobils IMEM-nummer och liknande. Företag kan aldrig äga andras personuppgifter En strategisk möjlighet Tre sanningar ni behöver förstå för att fortsätta, vad innebär det för er? Som företag ska vi skydda andras personuppgifter Genom att i god till se till att ni följer GDPR kommer ni att kunna kommunicera utåt att ni skyddar alla personer som berörs av er verksamhet, vare sig det rör sig om kunder, anställda, konsumenter, invånare, medlemmar, patienter, kontoinnehavare eller användare.
2 Höj temperaturen Kartlägg var och hur personuppgifter hanteras Vilka personuppgifter hanterar ni? Strukturerad material/data: Vad finns i era interna IT-system, ärende- och dokumenthanteringssystem? Vilka personuppgifter hanteras i sälj/marknadssystem i molnet? Kokhett eller iskallt? Ta tempen på er! Ta ställning till de påståenden som finns på andra sidan vid termometern. Vilka stämmer för er? Skapa fler påståenden utifrån er kartläggning och placera dem på någon av de tre zoner som finns på baksidan av detta blad. Använd era exempel. Ta ett system eller scenario i taget och ställ frågor. OBS! En betydelsefull förändring med GDPR är att den s k missbruksregeln tas bort. Den regeln undantog hantering av personuppgifter i ostrukturerad data, d v s löpande text i dokument, e-post, webbplatser och chatt. Det här får stora konsekvenser för svenska företag som idag följer PUL. Ostrukturerat material/data: Vad har era medarbetare lokalt på deras datorer eller telefoner? Vad finns i Word och Excel-dokument? Vad finns i ert e-postsystem? Vad i supportchatten på webben? Vad finns på papper? Allt behöver räknas in, även var systemen finns geografiskt. Diskutera med nyckelpersoner i organisationen och dokumentera allt ni hittar. Dokumentera även olika beteenden som kan finnas i organisationen, t ex Skickar personuppgifter med e-post och liknande. Kokhett: Alla system och processer som hanterar personuppgifter. Rutiner och riktlinjer som behöver förändras. Beteenden där personuppgifter hanteras felaktigt (den mänskliga faktorn). Iskallt: System och processer som inte hanterar personuppgifter. Ljummet: Det som hamnar mellan Kokhett och Iskallt i diskussionerna placerar ni på ljummet. Se om det går att gruppera de påståenden som hamnat på Kokhett och sätt övergripande rubriker. Gruppera de som hänger ihop och handlar om samma sak. Kolla igenom ljummet och ta med det som passar in i någon av grupperna. Data controller Den fysiska eller juridiska personen, den myndighet, den institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Data processor Den fysiska eller juridiska person, den myndighet, den institution eller annat organ som behandlar personupp-gifter på uppdrag av Data Controller.
Alla system behöver ett nytt aktivt samtycke 3 Ta kontroll Lista allt som behöver göras och ta hjälp utifrån Använd de olika påståenden och befintliga system från Kokhett och nedåt. Ta ett i taget och diskutera Vad behöver vi göra för att skydda individen enligt GDPR?. Skapa en komplett lista över allt som behöver åtgärdas. Välj hur ni vill dela in listan i olika grupper, till exempel ansvariga, typ av system eller intressenter. Vad behöver åtgärdas? Vilka applikationer eller tjänster behöver certifieras? Vilka rutiner behöver kompletteras? Vilka behöver informeras eller utbildas? AGERA Säkra alla tjänster och leverantörer Du behöver begära underlag från era IT-underleverantörer hur de behandlar personuppgifter och hur de kommer att stödja GDPR (så detaljerat som möjligt). Underlagen skall helst vara verifierade av tredje part exempelvis, certifieringar/seal eller audit-kontroller på de delar av systemen som hanterar era personuppgifter. Lita inte på någon extern leverantör utan underlag eller bevis. Det gäller även när de omfattas av biträdesavtal. Se upp för friskrivningar. De här kan hjälpa dig med olika tjänster eller verktyg: Advokater med inriktning på GDPR-lagen. IT-experter med privacy och säkerhets inriktning. Leverantörer av färdiga lösningar anpassade för GDPR INVENTERA Informationsflöden Integritetspolicy Integritetsrisk ANPASSA Identifiera möjligheter/brister och hur det ska anpassas för att följa GDPR och Privacy by Design. Krav på interna IT-system och produktansvariga. Krav på externa IT-leverantörer. Krav på moln/mobiltjänster och dess leverantörer. Acceptera inga friskrivningar.
4 Håll farten Vem ska göra vad? Utgå från listan som skapades i steg 3. Fördela uppgifter, prioritera och sätt tidplan på när det ska vara utfört. Vad ska prioriteras? Vem är ansvarig? När ska det vara klart? Hur ska det dokumenteras? Vilket beteende behöver ändras? Eftersom vi nu lånar informationen från våra kunder, partners och anställda så krävs det att leverantörer, processer och anställda förstår och stöder detta. Det innebär ett annat beteende och gamla rutiner behöver göras om. Vad behöver förändras hos er? Mål Ansvariga Tidplan Vem gör vad? Nya system utvecklas med inbyggd integritet Alla nya rutiner och IT-system behöver vara byggda från grunden att införliva principerna om dataskydd och integritet genom design (Privacy by Design). Hur ska ni säkra att det görs och efterlevs? Vad behöver er omvärld veta? Alla era intressenter behöver veta att ni jobbar med det här och anpassar era system så att persondata skyddas. Hur ska ni säkra att de personer som ni lånar information från, vet om att ni skyddar deras uppgifter? Var proaktiv för risker Även om säkra tekniska lösningar kan bidra till att minska risken för externa skadliga hot, kommer det inte att skydda mot den mänskliga faktorn. Vilka risker är relevanta för er?
5 Gå i mål Om du genomfört steg 1 4 har du anpassat ert sätt att hantera personuppgifter till GDPR. Ni tillhör nu de goda företagen som skyddar och bryr sig om individens rättigheter. Alla ansvariga hos er: har kontroll på hantering av personuppgifter vet hur den behandlas lagras och säkras och har dokumentation på det. Alla medarbetare vet: att vi lånar alla personuppgifter, och vi hanterar dem därefter. att skydda våra kunder och deras information är en central del i vår verksamhet. Nu startar någonting nytt Genom att ni nu har skapat förståelse i er organisation för den nya lagen samt infört regler och principer som skyddar personuppgifter så har ni hanterat maktskiftet på rätt sätt och kan se fram emot nya utmaningar i nästa digitala utvecklingsfas. 25 May 2018 Färdig? Nu har ni nått ett viktigt mål och anpassat de viktigaste lösningar till privacy by design och sekretess som standard, därmed säkrar ni att det nya beteendet vidmakthålls när er verksamhet effekti-viseras. Det här innebär starten på en ny era där ni hanterar och skyddar lånet av information och har alla möjligheter att utveckla er verksamhet i vårt digitala och uppkopplade samhälle.
KOKHETT LJUMMET ISKALLT Vårt CRM-system har en inbyggd e-postfunktion för distribution av kundlistor. Personalavdelningen använder Excel för hantering av personalgrupper och distribuerar dessa via e-post. Vår produktionssystem innehåller bara uppgifter om artiklar och produktionsdata. Vår marknadsavdelning tar ut kunddata ur vårt ordersystem och via Excel hanterar deltagare vid kundevent. Vi har outsourcat vårt CRM-system till extern leverantör. Vi behöver ett system för att ta bort personuppgifter i sparade back-up-versioner. Vårt ekonomisystem innehåller inga personuppgifter.
Fem steg för att framgångsrikt följa GDPR Alla företag och organisationer behöver innan 25 maj 2018 kontrollera och säkerställa att man följer den nya dataskyddslagen från EU General Data Protection Regulation (GDPR). Den ersätter lokala föreskrifter (som PuL i Sverige) men med den stora skillnaden att det är omvänd bevisföring. Nu MÅSTE alla kunna visa att man följer lagen. Så det är dags att vidta åtgärder, därför har vi som redan gjort det tagit fram den här guiden. När lagen träder i kraft, kommer det att omfatta alla personuppgifter som samlas in idag och framåt, men också all data som redan finns i befintliga system. Det är därför den här guiden är uppbyggd i olika steg och enkla processer så man får kontroll på var den finns och behandlas inom organisation. Att förbereda sig för GDPR är något positivt, det skapar fokus på varför och hur man hanterar sina kunder och deras personuppgifter. En insikt som skapar affärsfördelar. GDPR är på allvar och innebär samordnade aktiviteter genom hela organisationen. SecureAppbox är en molnplattform där organisationer och programutvecklare kan ansluta befintliga lösningar eller utveckla nya applikationer och tjänster enligt Privacy by Design. www.secureappbox.com contact@secureappbox.com En av tjänsterna i plattformen är SecureMailbox som hjälper privatpersoner, företag och myndigheter att kommunicera säkert i över 160 länder.