GDPR – ett hot som kan vändas till en möjlighet

Annons

Många stora företag har redan hört talas om lagstiftningen, eller snarare om det faktum att en organisation kan bötfällas med flera procent av sin omsättning om man misslyckas med att följa lagen. GDPR går längre än personuppgiftslagen i att skydda konsumenters integritet. Lagen är inte skriven för att göra det lättare för företag, utan för att göra digital interaktion säkrare för konsumenter – företagens kunder plus alla de medborgare som interagerar med samhällsfunktioner som vård, skola, omsorg och myndigheter. En av de mest dramatiska komponenterna i GDPR kallas ibland för ”delete-knappen” – en konsument ska ha rätt att kräva att all information om konsumenten ifråga ska raderas från en leverantör som har information om kunden. Om leverantören inte klarar av detta kan man bli bötfälld. GDPR gäller alla bolag som finns inom EU och för alla som gör affärer med bolag inom EU.

En organisation som förbereder sig på GDPR på rätt sätt kan få en avsevärd kon­kurrensfördel. Dels genom att bli effektivare och mer automatiserad. Men också ungefär på samma sätt som de starkaste varumärkena i världen har en stark identitet inom ”mjuka” faktorer som miljö, klimat, rättvisa och jämlikhet. Ett bolag som anstränger sig att följa GDPR tar sitt digitala ansvar.

300 000 databaser
Alla CFO:er som jobbar i en stor organisation som har några år på nacken vet hur svårt det är att ens hitta alla databaser som finns i organisationen.  Hos många organisationer är IT-systemen rena lapptäcken. En stor europeisk bank försökte en gång räkna hur många databaser man hade – men man gav upp när man hittat närmare 300 000 stycken. Sedan orkade man inte räkna längre. ”Delete-knappen” är alltså svår att implementera. Detta indikerar dels att GDPR kan tvinga fram bättre struktur och ordning, men också att det är hög tid att börja förbereda sig för GDPR nu och lyfta frågan i beslutande organ, i god tid.

Den 27:e april 2016 fattades beslutet om införande av GDPR. Genom beslutet in­leddes en två års förberedelseperiod, därefter börjar GDPR att gälla. GDPR är en förordning (och inte ett direktiv) vilket innebär att texten blir direkt legalt gällande i medlemsstaterna, utan att passera de nationella parlamenten. Den 25:e maj 2018 träder GDPR i funktion, beslutet är redan fattat. Det är således ingen fråga om GDPR blir av, heller inte hur förordningstexten kommer att se ut.

Alla som bedriver verksamhet inom EU
Förordningen berör samtliga som hanterar personuppgifter, eller uppgifter som kan kopplas till en individ. Den omfattar såväl de som ”äger” informationen (Data Controller), men även eventuella tjänsteleverantörer (Data Processor). Undantagna är rättsvårdande myndigheter. Alla som bedriver verksamhet inom EU eller riktat till EU:s medborgare berörs.
Lagstiftaren har tagit till ordentligt när det gäller att se till att beslutet implementeras i praktiken. Viten kan utdömas med upp till det högsta av 4 procent av global årsomsättning eller 20 miljoner euro.

I och med GDPR så finns det ett legalt ramverk som ställer tvingande krav på den som hanterar personuppgifter. Dessutom finns en övervakande myndighet i varje medlemsstat. Det räcker att en enda enskild individ bestämmer sig för att utöva sina rättig­heter för att det skall bli uppenbart om en organisation har implementerat godtagbara mekanismer för att uppfylla GDPR. Allt detta sammantaget innebär att den enskildes position stärks.
Regelverket omfattar ett antal rättigheter för enskilde som innebär korresponderande skyldigheter för den som hanterar personuppgifter Några av de viktigaste är:

Medgivande
Det är obligatoriskt att skaffa medgivande från den registrerade personen. Kravet på medgivande för registrering av personuppgifter är explicit, det räcker inte med tysta medgivanden eller förifyllda checkboxar. Den enskilde kan i efterhand återta sitt medgivande när som helst. Man måste i efter­hand kunna visa hur och när medgivandet avgavs.

Tillgång
Den enskilde har rätt att själv ta del av alla de uppgifter som finns lagrade. Det innebär att det behövs processer för att lämna ut information, men också för att säkerställa att det är rätt motpart som begärt att få ut uppgifterna.

Rättning
Den enskilde har rätt att begära korrigering av felaktiga eller ofullständiga uppgifter.

Radering – ”deleteknappen”
Den enskilde har möjlighet att begära radering av personuppgifter som lagrats. Rättigheten kallas ofta ”rätten att bli glömd”. Denna rättighet lär skapa en hel del huvudbry för IT-avdelningen. Hur säkerställer man till exempel radering från backuper, eller molnleverantörer?

Portabilitet
Den enskilde har möjlighet att begära utlämning av sina uppgifter, till exempel för att gå till en konkurrent. Sådan utlämning får inte försvåras och uppgifterna måste lämnas över på ett läsbart sätt. Denna rättighet gäller generellt, syftet med rättigheten är att exempelvis underlätta byte av sociala medieleverantör, och därmed öka kon­kurrensen inom området.

Dedicerad övervakande myndighet
I varje medlemsstat finns en dedicerad övervakande myndighet. I Sverige är det Datainspektionen. För det enskilda företaget räcker det med en kontakt med den övervakande myndigheten i hemmanationen. Även för ett företag som har verksamhet i flera länder gäller att de har endast en kontaktpunkt.

I fall då personuppgifter kommit på avvägar måste rapportering ske till över­vakande myndighet. Dessutom måste berörda individer meddelas. Sådan rapportering måste ske inom 72 timmar från upptäckt av incidenten.

För vissa organisationer krävs också att man har en specifik person som ansvarar för att regelverket följs, en så kallad ”Data Protection Officer”.
Då regelverket ännu inte tillämpats saknas praxis. Det kan förväntas en uppsjö av rådgivare på området i takt med att enskilda företag får upp ögonen för vad GDPR faktiskt innebär. Tyvärr finns det samtidigt en stor risk att det inte finns något prejudicerande att stödja sig på – även de myndigheter som har ansvaret att införa dessa regler kommer med till visshet gränsande sannolikhet göra olika bedömningar där ingen i förväg vet exakt vad som är rätt.

Vad som är klart är dock att Bevisbördan ligger på den som hanterar personuppgifterna. Såväl styrande som redovisande ­dokument kommer att behövas för att uppfylla kraven.

Man gör klokt i att förbereda sig för GDPR i faser. Först bör man göra ett sorts utredningsarbete på strategisk nivå, där man får en chans att se över hur organisationen generellt arbetar med kundinformation. Detta arbete bör omfatta följande moment:

Privacy by design
Genom att aktivt arbeta för att minska spridningen av personuppgifter såväl tekniskt som organisatoriskt minskar kostnaderna för att sköta de lagstadgade moment som GDPR kräver.

Genom att strikt styra och följa själva informationsflödet underlättas analysen och omfattningen av de nödvändiga åtgärderna. Om man kan visa att personuppgifterna inte har kunnat nå en viss plats behövs det inte göras någon åtgärd. Många affärsprocesser fungerar lika bra utan detaljerad kännedom om kundens identitet. Alternativt kanske det går att pseudonymisera uppgifter? Pseudonymisera innebär att man separerar uppgifterna från den identifierande informationen.

Sektionering
Sektionering är en metod som kan hjälpa till att förenkla arbetet att uppfylla kraven i GDPR. Genom att dela in sina system i mindre delsystem och ha kontroll över informationsflödet mellan delsystemen kan man minska exponeringsytan. Det kan göras på applikationsnivå, eller ännu hellre på nätverksnivå med brandväggar, zonindelning eller till och med datadioder (fysisk envägskommunikation).

Automatisering
Om det finns risk att hanteringen av personuppgifter sköts olika beroende på vem som hanterar uppgiften medför det risk att man bryter mot regelverket. Det går inte att vara säker på att man raderat all information om en viss person ifall man inte vet var och hur informationen hanterats. Den enda tillförlitliga metoden är att eliminera den mänskliga faktorn i informationsflödet. Manuell hantering är helt enkelt ett riskmoment, och dessutom ofta kostsamt och felbenäget. Alternativet till automatisering är strikt processtyrning med de krav på utbildning och dokumentation som medföljer manuell hantering.

Spårbarhet
Flera av kraven i GDPR medför att man behöver veta vem som tagit del av information. Om man inte vet var informationen finns är det omöjligt att radera eller ­korrigera felaktig information. Delar organisationen personuppgifter med tredje part? Vad sker i så fall om man får en begäran om korrigering av en uppgift efter att den delats av andra?

Underleverantörer och outsourcing
Se till att justera avtalen med underleverantörer i god tid. I maj 2018  blir det organisationens ansvar oavsett om avtalsstödet är på plats eller ej. Oavsett om leverantören är direkt inblandad med personuppgifter i sitt dagliga arbete– eller indirekt för att de till exempel driftar servrar eller kundregister så finns behovet att säkerställa att de sköter sitt åtagande, och även stödjer de processer organisationen eventuellt behöver för att uppfylla sina skyldigheter enligt GDPR. Även underleverantörer kommer att omfattas av regelverket – det är inte problemet. Men hur fördelas kostnader och åtaganden?

Handfasta tips
Slutligen några handfasta tips om aktiviteter, där många kan initieras parallellt med ovanstående utredningsarbete.

  • Se till att högsta ledningen blir medveten om problematiken.
  • Skapa en projektplan för tiden fram till maj 2018.
  • Inventera dagens informationsläge. Var finns personuppgifter lagrade? Kundregister? Andra listor med identifierande information? Glöm inte bort lagring utanför definierade processer som e-postlistor, excel-ark och så vidare.
  • Finns andra processer som riskerar att sprida information: Hur sker backuper? Delas information med tredje part? Används någon extern part för utskick?
  • Inventera dagens läge avseende ­processer. Finns det redan processer på plats som kan användas. Vilka processer behöver modifieras? Vilka behöver utgå? Vilka nya behövs?
  • Definiera och inför processer för att hantera den enskildes rättigheter.  Glöm inte bort processer för att fånga upp och återkoppla eventuella avvikelser.
  • Ta höjd för GDPR-anpassning vid omförhandling av avtal med era tjänsteleverantörer redan från och med idag.
  • Minska spridningen av personuppgifter inom systemparken – varje lagringsplats som kan elimineras genom ”privacy by design” är ett problem mindre att hantera i alla de andra processerna.
  • Genomför regelbundna revisioner, åtminstone internrevisioner, eventuellt även via oberoende tredje part.

Jo, det är mycket arbete som måste utföras. Men visst är det så att man som konsument mycket hellre är kund till en organisation som utfört allt detta slit, och som därmed tagit sitt digitala ansvar, än hos en organisation som inte gör det?