Etikettarkiv: General Data Protection Regulation (GDPR)

En ninja som försöker stjäla lösenord symboliserar GDPR - General Data Protection Regulation - DataförordningenGeneral Data Protection Regulation (GDPR) eller Allmänna dataskyddsförordningen på svenska är en förordning som ersätter Personuppgiftslagen (PUL). GDPR antogs 27 april 2016 och gäller från 25 maj 2018. Den allmänna dataskyddsförordningen harmoniserar dataskyddsförordningar inom EU, så att alla länder har samma lag. Syftet med lagen är stärka skyddet för fysiska personer vid behandling av personuppgifter inom EU. Tidigare fanns en gemensam lägstanivå. Variationerna mellan olika länders dataskyddsförordningar gjorde det snårigt för företag att säkerställa att alla lagar följdes. GDPR är Europaparlamentets och rådets förordning (EU) nr 2016/679.

GDPR den nya dataskyddsförordningen tar över efter PUL om mindre än ett år

Det pratas mycket om GDPR, den nya EU-lagen eller dataskyddsförordningen som den heter på svenska. GDPR kommer ersätta Personuppgiftslagen (PUL). Tanken är att den ska underlätta för e-handlare och andra företagare som är verksamma i mer än ett EU-land. Tidigare hade varje EU-land sina egna bestämmelser kring hur personuppgifter hanteras. Det fanns förvisso en lägsta nivå som alla EU-länder hade att förhålla sig till, men utöver lägsta nivån så fanns det stora variationer. Att det fanns olika lagar gjorde det svårt för företag som hanterar personuppgifter i flera olika EU-länder. Den nya gemensamma lagen kan för många innebära stora förändringar, men när dessa väl är genomförda kommer det bli enklare för alla verksamheter som hanterar personuppgifter. Frågan är dock om det verkligen kommer bli enklare?

Vad är GDPR?

GDPR står för General Data Protection Regulation och i de diskussioner jag sett på LinkedIn används den engelska förkortningen oftare än den svenska benämningen dataskyddsförordningen. Kanske kommer det svenska namnet sätta sig så småningom, jag blandar lite när jag pratar. Jag gillar att använda svenska ord, men de flesta verkar som sagt använda den engelska förkortningen. GDPR är en lag som införs samtliga EU-länder den 25 maj 2018. Regelverket är omfattande och och med inträdet av den nya lagstiftningen skärps kraven på hur persondata hanteras. Dessutom kan företag som brister i hanteringen av personuppgifter tvingas betala sanktionsavgifter på upp till 20 miljoner EUR eller 2% av ett företags omsättning, vilket inte var fallet med PUL.

GDPR i- General Data Protection Regulation illustreras med en karta över EU-länderna färgade i blått med stjärnor som EU-kartan

Missbruksregeln försvinner

Tidigare har det funnits en regel som säger att personuppgifter i ostrukturerat material är tillåtet så länge det inte kränker enskilda individer. Kränkning kan vara personförföljelser, försök att skandalisera en person eller spridande av missvisande information. Ostrukturerat material omfattar exempelvis personuppgifter i e-post eller i enklare listor på en enskild dator. I samband med införandet av GDPR försvinner missbruksregeln och därmed skall även personuppgifter i ostrukturerat material hanteras som övriga personuppgifter.

Det kan därför vara bra att kontrollera vilka personuppgifter som förekommer i exempelvis e-post och listor. Listor som skickas bör krypteras, även om dessa endast skickas internt. Nästan all e-post skickas idag via externa servrar och bör därför hanteras varsamt.

Krav på rapportering vid dataintrång

En ninja som försöker stjäla lösenord symboliserar GDPR - General Data Protection Regulation - DataförordningenDen nya lagen har fokus på information och transparens, det vill säga att individer ska ha information om hur deras personuppgifter hanteras. Som en del i detta har det tagits fram krav på att dataintrång ska rapporteras både till de individer som berörs och till myndigheter, i Sverige är det Datainspektionen som tar emot anmälningar. Vid intrång eller förlust av data måste rapportering ske inom 72 timmar, vilket kan vara svårt om intrånget sker strax innan en långhelg.

De senaste åren har det rapporterats om olika läckor från e-handlare och jämförelsesajter. När en av jämförelsesajten Prisjakts medarbetares kontouppgifter hamnade på villovägar så läckte 48000 e-postadresser ut på nätet. Lösenorden var krypterade så de kom inte i orätta händer, men e-postadresser är personuppgifter och liknande intrång måste med den nya lagen rapporteras både till myndigheter och till de enskilda personerna.

Företag och organisationer behöver sätta upp rutiner för hur dataintrång hanteras och rapporteras, särskilt hur det hanteras om intrånget sker utanför kontorstid.

Dataportabilitet införs i dataskyddsförordningen

Den som har gett sin tillåtelse till att registreras av ett företag har enligt GDPR rätt att föra över sina uppgifter till ett annat företag eller organisation om så önskas, men också att själv få ett registerutdrag med uppgifter som har lagrats om en själv. Detta gäller endast personuppgifter som kan härledas till en individ och därmed inte uppgifter som har anonymiserats. Analys av rådata ingår inte rätten att få tillgång till sina uppgifter eller rätten att få dessa överförda från ett företag till ett annat.

För e-handlare som har kundregister och register med nyhetsprenumeranter är det viktigt att ha en rutin för att lämna ut dessa uppgifter på förfrågan.

Krav på dataskyddsombud

Företag och organisationer som hanterar känsliga personuppgifter eller kartläggningar av enskilda individers beteende ska ha en person som ansvarar för hanteringen av dessa, ett dataskyddsombud. Kravet på dataskyddsombud gäller därmed inte alla företag och organisationer utan endast de som hanterar känsliga personuppgifter eller som kartlägger enskilda individers beteenden.

E-handlare som använder olika typer av webbanalysverktyg eller köper onlinemarknadsföring som baseras på individers beteende bör se till att leverantörerna följer GDPR och att de har ett dataskyddsombud som hanteras dessa frågor.

Konsekvensbedömning vid risk

Om hanteringen av personuppgifter kan leda till hög risk för integritetsintrång så måste en konsekvensbedömning göras. Konsekvensbedömningen ska innefatta en analys av hur riskerna kan minimeras. Bedöms risken som hög om inte den personuppgiftsansvarige vidtar åtgärder så måste företaget samråda med Datainspektionen.

Användarnas tillstånd

Dataförordningen kräver att användarna ska ge sitt godkännande innan personuppgifter samlas in. Dessutom ska informationen som ges till användarna vara tydlig så att de förstår hur personuppgifterna kommer att användas. I teorin låter det väldigt bra, men i en värld där användarna inte förstår hur digitala tjänster fungerar blir detta ett problem.

Joakim Jardenberg tar upp detta i sin webbserie #ensakidag där han berättar om journalisten Judith Duportail som förvånats över hur mycket information Tinder hade om henne. Idag använder många Facebook, Twitter eller LinkedIn för att logga in på olika sorters appar. När vi gör det så delar vi med oss av information från dessa nätverk. Vi får alltid en informationsruta om detta, och uppmanas att svara på om vi vill dela med oss information från de sociala nätverken till appen. För de flesta av oss är det numera en rutin att tacka ja, för det är inte alltid det finns ett alternativ. Finns ett alternativ så är det oftast en längre registreringsprocess och tanken på ännu ett lösenord att hålla reda på och byta ut regelbundet känns för många värre än att koppla ihop appen med ett socialt nätverk. Informationen som Tinder hade om Judith Duportail hade hon med andra ord gett dem tillstånd till att inhämta, men hon hade inte reflekterat över vad hennes tillstånd innebar.

Det här kommer bli en utmaning för e-handlare, och något som många oroas över just nu. Om välutbildade personer som Judith Duportail inte förstår att matchningstjänster bygger på informationsinhämtning, hur ska då den genomsnittliga användaren förstå?

 

Vad är GDPR?

GDPR står för General Data Protection Regulation och är en EU-förordning (2016/679/EU) som träder i kraft den 25 maj 2018. På svenska kallas GDPR för Allmänna Dataförordningen. GDPR ersätter Dataskyddsdirektivet (95/46/EG) från 1995 som i svensk lagstiftning har hetat Personuppgiftslagen, förkortat PUL.

Som e-handlare är det viktigt att ha koll på GDPR eftersom förordningen påverkar hanteringen av persondata (vilket inte bara är personnummer, se mer om persondata nedan).

Varför införs GDPR?

Syftet med GDPR är att stärka EU-medborgares rätt att kontrollera hur de egna personuppgifterna används. Genom den nya förordningen kommer medborgare ha rätt att kräva att ”bli glömda” av företag. Det innebär att medborgare kommer kunna be företag radera personuppgifter (förutsatt att dessa inte behövs för att företaget ska uppfylla andra lagkrav). En förordning blir automatiskt lag i EU-länder, till skillnad från ett direktiv som är mer av rådgivande karaktär. Det tidigare Dataskyddsdirektivet utgjorde en lägstanivå för EU-länders lagstiftning kring personuppgiftshantering. Med GDPR kommer samtliga EU-länder ha samma lagstiftning, vilket är ett steg för att underlätta handel mellan EU-länder.

Vad regleras av GDPR?

GDPR reglerar data i form av exempelvis namn, hemadress, foton, e-mailadresser, bankkontouppgifter, inlägg på sociala medier, medicinsk information eller IP-adress. Det är svårt att räkna upp alla datatyper som regleras av GDPR. I korthet kan man säga att allt som går att härleda till en enskild person är att betrakta som personuppgift.

Om ett företag samlar in och/eller processar information om EU-medborgare gäller GDPR, oavsett om företaget är verksamt inom EU eller inte. Organisationer med säte i EU omfattas också av GDPR, även om de endast hanterar personuppgifter utanför EU. Alla molntjänster så som Dropbox, Google Drive och Microsoft 365 måste säkerställa att de kan hantera personuppgifter i enlighet med GDPR eftersom användarna kan använda deras tjänster för att lagra personuppgifter.

EU - GDPR - General Data Protection Regulation - Dataförordningen

Hur skiljer sig GDPR från PUL?

Rätten att bli glömd

I och med införandet av GDPR har EU-medborgare rätt att kräva att ”bli glömda”. Du kanske har hört om Googles strid med EU-domstolen? Enligt en dom från 2014 har EU-medborgare rätt att få uppgifter om sig själva borttagna från sökresultat. Tidigare har det endast gällt Googles domäner inom EU (google.fr, google.de osv) men från 2016 gäller detta öven för Google.com. Möjligheten att få sina uppgifter borttagna från sökresultaten på Google.com gäller endast om Google kan avgöra webbesökarens geografiska ort, tex via IP-adressen. Enligt tidningen IDG inkom det från 2014 till 2016 förfrågningar från drygt 10 000 svenskar som ville få bort knappt 40 000 länkar från Googles sökresultat. Av dessa godkände Google, enligt IDG, ca 40 procent. Med GDPR kommer ”rätten att bli glömd” utökas och alla företag och organisationer måste ha rutiner för att kunna uppfylla krav på att radera personuppgifter ur sina system.

Aktivt medgivande till insamling av data

Tidigare ansågs ett medgivande för insamling av personuppgifter ha givits när en person registrerade sig för en tjänst, exempelvis en nyhetsbrevsprenumeration. Det ansågs underförstått att uppgifterna som registrerades skulle användas för att skicka ut nyhetsbrev. Med införandet av GDPR måste företag kunna visa på ett aktivt medgivande till att personuppgifter samlas in, bearbetas och lagras (så kallad opt-in). När det gäller barn måste förälder eller vårdnadshavare ge sitt aktiva medgivande, och den som samlat in personuppgifterna måste kunna styrka att så har skett. Ett medgivande kan när som helst dras tillbaka enligt ”rätten att bli glömd”.

Anonymisering

En rekommendation är att företag och organisationer i möjligaste mån anonymiserar persondata. Nycklar för att låsa upp anonymisering ska enligt GDPR hållas separat från data. Den anonymiserade datan anses dock fortfarande utgöra persondata  och skall hanteras som sådan.

Dataintrång och incidenter

Den som hanterar persondata är skyldig att rapportera dataintrång till Datainspektionen inom 72 timmar, i enlighet med GDPR. Individer som kan skadas av att deras persondata har läck skall också informeras.

Sanktioner

Möjligheterna att utfärda sanktioner var begränsade med PUL. I enlighet med GDPR kan tillsynsmyndigheten utdöma en administrativ sanktionsavgift på upp till 20 miljoner euro, eller fyra procent av verksamhetens omsättning.

Flytt av data

Individer har under GDPR rätt att flytta sin persondata från ett elektroniskt datahanteringssystem till ett annat utan hinder. Detta gäller dock inte data som har anonymiserats så att den inte kan knytas till en specifik individ.

Rutiner

Hanteringen av personuppgifter måste dokumenteras. Dokumentationen ska även visa på syfte med insamling, processande och lagrande av personuppgifter, vilka kategorier av personuppgifter som omfattas samt beräknad tidsperiod för hanteringen. Dokumentationen måste finnas tillgänglig på begäran av tillsynsmyndighet.

Vilka steg bör företag ta för att uppfylla GDPR-kraven?

Det första steget är att identifiera persondata som används i organisationen. Många blir förvånade över vilken information som är att betrakta som persondata. Jag hör ofta personer som tror att persondata är samma som personnummer. Kanske för att begreppen till synes är snarlika? Personnummer är persondata, men som jag beskrev tidigare är även namn, foton och mycket annat att betrakta som persondata i lagens mening.

Nästa steg är att kartlägga hur persondata samlas in, processas och lagras. Det kan vara bra att göra ett flödesschema för att se hur persondata flyttas mellan olika system och om dessa system uppfyller GDPRs krav på hur persondata ska hanteras. I de fall det är möjligt att anonymisera persondata bör detta göras så snart som möjligt.

Vad kan e-handlare lära av IT-skandalen på Transportstyrelsen?

Under sommaren har en regeringskris utlösts i samband med misskötsel vid upphandling av IT-tjänster för att hantera Transportstyrelsens databas. Databasen innehåller information om samtliga fordon i Sverige och alla körkortsinnehavare inklusive de med skyddad identitet. Även om e-handlare troligtvis inte sitter på information som kan röja skyddade identiteter så finns det lärdomar att dra från IT-skandalen.

Hur troligt är det att någon vill stjäla ditt företags data?

Som e-handlare kanske du tänker att Transportstyrelsens IT-skandal inte berör dig, att det är en politisk fråga och att ingen rimligtvis är intresserad av att stjäla ditt företags data. Egentligen spelar det ingen roll om någon försöker stjäla din kunddatabas eller inte. Under 2018 kommer en ny lag General Data Protection Regulation (GDPR) implementeras i hela EU. GDPR ersätter Personuppgiftslagen (PUL) och innebär att rutiner kring hantering av personuppgifter måste dokumenteras.

Kraven på hur persondata hanteras skärps i och med införandet av GDPR. De företag som inte uppfyller kraven kan komma att få betala administrativa sanktionsavgifter på upp till 20 miljoner EUR eller fyra procent av den globala omsättningen.

Transportstyrelsen hade inte kunskap om skyddsvärd information

Enligt vad som framkommit av SÄPOs förhörsprotokoll så var kunskapen i styrelse och ledningsgrupp låg när det gäller vilken information som var skyddsvärd och hur den skulle skyddas. Det verkar som om kunskapen generellt sett varit låg i organisationen när det gäller vilken information som var skyddsvärd, vilket känns alarmerande. Särskilt med tanke på att de som hade kunskap om vilken information som var skyddsvärd och hur den skulle hanteras tycks ha ignorerats av chefer.

Oavsett om det gäller en myndighet eller ett företag så har styrelsemedlemmar och ledningsgrupp lagstadgad skyldighet att inneha verksamhetskritisk information.

Styrelsemedlemmar måste själva söka information samt läsa på om lagar och regler för att säkerställa att de har underlag som krävs för att fatta korrekta beslut. En ledare eller styrelsemedlem kan inte avfärda medarbetare med att avsteg har gjorts tidigare eller att medarbetare har en ”personlighet” som gör att allt de för fram blir ”jättestort” (som framgår av Emmanuel Karlstens genomgång av de delar av SÄPO-förhören som inte är sekretessbelagda). Enligt ABL 1.5 kap.§1 har styrelsen ett skadeståndsansvar som innebär att den som uppsåtligen eller av oaktsamhet missköter bolaget och därigenom vållar skada blir skadeståndsskyldig gentemot bolaget och dess ägare.

Med andra ord kan styrelsemedlemmar bli skadeståndsskyldiga även om de inte haft uppsåt att vålla företaget skada.

Lärdom: sök information och lyssna till kritiska röster i organisationen oavsett vilken personlighet de har.

TRUST - om tillit till rekommendationer att göra avsteg från lagar istället för att lyssna på medarbetares varningar

Infrastrukturminister Anna Johansson fick inte information

Infrastrukturminister Anna Johansson hävdar i förhör med SÄPO att hennes statssekreterare inte förde vidare informationen gällande Transportstyrelsens hantering av skyddsvärd information i samband med outsourcingen av IT-systemets drift. Som minister har hon skyldighet att säkerställa att information kommer fram till henne, samma sak gäller för styrelsemedlemmar i en e-handel eller annat företag. Anna Johansson har nu, liksom inrikesminister Anders Ygeman avgått. Enligt lag går det inte att avsvära sig ansvar. Därför är det viktigt att ha ett gott arbetsklimat där medarbetare känner sig trygga i att föra fram information, även när det känns tungt.

Styrelsemedlemmar är ytterst ansvariga för företagets organisation. Därmed ansvarar styrelsemedlemmar för att säkerställa fungerande informationsvägar. Jag har tyvärr varit i många organisationer där det inte hålls regelbundna möten. Det kan då kännas obekvämt att be chefen om möte för att prata om svåra saker, särskilt om chefen sällan är närvarande. I en allt mer digitaliserad värld är det viktigt att vi inte glömmer vikten av möten. De kan hållas online om inte alla kan samlas i samma lokal. Är det inte möjligt att hålla regelbundna möten, eller om möten ställs in är ett alternativ att samtliga som skulle deltagit i mötet istället skicka sina mötespunkter skriftligen till den som är sammankallande till mötet.

Lärdom: upprätta regelbundna möten med en stående mötespunkt att gå igenom problem och utmaningar. Se till att alla ledare samlar in information regelbundet från sina medarbetare, skriftligen eller via möten.

Lärdomar av IT-skandalen på Transportstyrelsen

Som e-handlare eller företagare är det viktigt att alla dina styrelsemedlemmar har kunskap om sitt ansvar enligt lag. Avsteg från lagar och förordningar kan resultera i skadestånd även om avstegen varit oavsiktliga. Jobba för en god arbetsmiljö där medarbetare vågar föra fram utmaningar och problem. Stämpla dem inte som jobbiga, i själva verket är det oftast de mest lojala medarbetarna som protesterar högst. Lojala medarbetare bryr sig om att göra ett bra jobb, de bryr sig också om verksamhetens rykte och gör sitt bästa för att förhindra skandaler. Visst kan det ibland vara jobbigt att lyssna på domedagsprofeter, och det kan kännas bökigt att implementera åtgärder men det är trots allt bättre än skadestånd och dålig PR.

Var nyfiken! Sök information! Upprätta rutiner!