Nytt dataskyddsdirektiv på väg – stor utmaning och många möjligheter

Inspelat webinar samt artikel som beskriver innehållet och konsekvenserna av den nya dataskyddsförordningen.

Författare: Christer Spörndly
Datum: 17.05.2016
Lästid: 5 Minuter

Vi har ett nytt dataskyddsdirektiv på väg i Sverige. Detta genom att EU-rätten förändras och harmoniseras på området. För Sveriges del innebär detta förhållandevis stora skillnader från nu, inte minst för alla företag som hanterar personlig information om sina kunder på ett eller annat sätt. Fördelarna är dock många – inte minst för konsumenterna som får en ökad kontroll över sina egna personuppgifter, men även för företag generellt eftersom reglerna nu blir likadana inom hela EU. Och det är hög tid att komma igång då reglerna kommer att börja gälla i början av 2018.
Vi arrangerade nyligen ett välbesökt förmiddagsseminarier där vi gick igenom de grundläggande delarna i den nya laget, vad de innebär ur ett lagperspektiv samt vad som kommer att krävas tekniskt för att möta lagkraven.

Själva lagen och dess innehåll presenterades av Viktoria Wastenson, från advokatfirman Lindahl och expert på området.

Se hela webinaret här:

Detta är vår egen kortfattade sammanfattning av de viktigaste punkterna.

Grunderna till de nya reglerna känns igen. Men det finns avgörande skillnader och tillägg. Exempel på detta är att vi tidigare pratat om laglighet och skälighet när det gäller hantering av personuppgifter. Nu är även transparens en grundprincip vi måste ta hänsyn till. På samma sätt har integritet och sekretess fått egna regler med slutmålet att skydda konsumenterna i största möjliga mån. Och den kanske största skillnaden av alla – framöver kommer företag att behöva kunna redovisa att de följer principerna och reglerna.

Vi vågar dock påstå att de absolut största och viktigaste skillnaderna för enskilda företag som hanterar personuppgiftsdata om eller åt sina kunder är redovisningsplikten och incidentrapporteringen samt att det måste göras risk- och sårbarhetsanalyser, men det kommer lite på köpet av de första två delarna. Om vi utgår ifrån att det redan idag är en självklarhet att ha så effektiva skydd som möjligt för att undvika att data läcker eller skadas så är skillnaden framöver mest hur du faktiskt ska och måste agera när något väl händer.

De nya reglerna innehåller nämligen ett notifieringskrav. Inom 72 timmar måste en incident rapporteras in till dataskyddsmyndighet. Exakt vad som ska betecknas som en incident vet vi inte ännu, men så länge det inte är ”osannolikt att risk för överträdelse av fri- och rättighet uppstår” så ska det rapporteras. Dessutom ska det även, inom samma tidsram, informeras direkt till registrerade användare om det är ”hög risk att deras fri- och rättigheter kränks”. Framtiden får utvisa hur hårda kraven blir, men det är tydligt att det innebär en rejäl förändring från nu då incidentrapportering är mer eller mindre frivillig och ofta styrd av en pr-agenda mer än en säkerhetsagenda.

Vad gäller redovisningsplikten vet vi inte heller fler detaljer i nuläget annat än att man på uppmaning ska kunna redovisa att man följer principerna och reglerna. Jämför detta med en skatterevision på ett företag – är du redo att få fram alla relevanta uppgifter om personuppgiftsbehandling från ditt företag på kort varsel? Är dina system och din IT-avdelning redo för den uppgiften?

Bägge dessa punkter hänger förstås tätt samman med kraven på risk- och sårbarhetsanalys. Dessa ska enligt reglerna utföras då det är hög risk för enskildas fri- och rättigheter. Exempel som nämns är systematisk och omfattande bedömning av enskilda baserat på automatisk behandling, storskalig behandling av känsliga personuppgifter och storskalig behandling av allmänt tillgänglig data.

Dessa riskanalyser är för många en helt ny sak att ens fundera på. Men de blir en nödvändighet för långt många fler företag än de som idag gör detta återkommande. Ur ett säkerhetsperspektiv bör detta vara en mycket god sak, rent organisatoriskt kan det vara en rejäl utmaning för många.

Det finns förstås en hel del detaljer till som är av intresse i de nya reglerna. Både i stort och smått. Några andra av det större, mer principiella, ändringarna är att man som konsument nu bland annat har en rätt att bli glömd. Det vill säga att vi som konsumenter under vissa förhållande ska kunna kräva att alla uppgifter om oss raderas ur ett system. En annan är rätten till portabilitet av data. I princip innebär den delen av reglerna att privatpersoner under vissa omständigheter kan kräva att få ut all information som finns lagrade om dom i ett system. Informationen ska fås i ett strukturerat och allmänt tillämpat, maskinläsbart format. Tanken är att detta ska öka, eller i alla fall underlätta, rörlighet mellan olika tjänster av liknande slag.

En förhållandevis avgörande del i den nya lagstiftningen är också det vite som kan komma att dömas ut. Bryter man mot reglerna riskerar man i slutändan att få betala ut upp till 4 procent av företagets omsättning beroende på företagets storlek. Det är alltså en potentiellt ekonomiskt mycket dyr affär att inte följa dessa nya regler.

Vad är då nästa steg? Rekommendationerna är tydliga. Företaget måste ta datasäkerheten generellt på större allvar framöver. Om det inte redan är det måste det bli en fråga för styrelse och ledningsgrupp. Det måste finnas en tydlig intern organisation för att hantera dessa frågor och relevanta medarbetare måste utbildas i de nya reglerna och vad de innebär.

Och inte minst – man måste se över gamla och kommande system. Det räcker inte längre med att hävda att man ha ”ostrukturerad behandling” av personuppgifter, för dessa är inte längre undantagna. Och du har fullt ansvar, oavsett om behandling sker hos dig internt eller hos tredje part som du anlitar. Det finns helt enkelt ingen ursäkt för att inte ta dessa regler på allra högsta allvar.

2018 är inte långt borta. Vi rekommenderar stark att du börjar nu om du inte redan gjort det.

Ladda ner hela Viktorias presentation här:


One thought on “Nytt dataskyddsdirektiv på väg – stor utmaning och många möjligheter


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s