Redan när frukosten intogs hördes intensiva samtal och infallsvinklar kring dagens ämne. Det är uppenbart att många berörs och måste agera när det gäller den nya förordningen. Den ersätter som bekant den nuvarande personuppgiftslagen, och träder i kraft den 25 maj. Har ni inte tagit tag i frågan på allvar ännu är det alltså hög tid nu. På scenen representerades Tripnet av projektchef Mats Sjöberg och informationschef Marcelo Cáceres Longé. Under föreläsningen fick vi även kloka råd från advokatfirman Wistrands advokat Erik Ullberg och jurist Gunilla Karlsson.
Högre krav på integritet
Integritetsfrågor har den senaste tiden fått stort utrymme i media. Inte minst med tanke på nyheten att företaget Cambridge Analytica anklagas för att ha samlat in personlig information från flera miljoner Facebook-användare, och använt den för att hjälpa Donald Trump i valet 2016. Människor tycks numera ställa allt högre krav på den personliga integriteten. I och med GDPR-lagstiftningen skapar vi en större möjlighet att kontrollera personliga uppgifter som rör oss själva, vilket är positivt.
På Tripnet har vi arbetat med GDPR-frågan en längre tid. Som trovärdig driftsleverantör är det av största vikt att vi följer alla lagar och regler och det är en självklarhet att vi, gentemot våra kunder, håller oss uppdaterade och pålästa. Som företag har man inte heller råd att ignorera den nya lagstiftningen, då det är ofantliga summor i skadestånd.
Mer information på brittiska ICO
Eftersom lagen ännu inte trätt i kraft, finns det inte heller någon praxis eller domstolsförfaranden att luta sig mot. Riktlinjerna från myndigheterna har hittills varit ganska generella, men den senaste tiden har det skett ett trendbrott. Det går numera att få tag i mer matnyttig information hos till exempel Datainspektionen.
– Kika gärna på den brittiska motsvarigheten till Datainspektionen, ICO, som har haft betydligt mer resurser. Är man lite bevandrad på engelska finns mer lättillgänglig och tydlig information hos dem, tipsade Erik Ullberg om på Kunskapsfrukosten.
Register över register
På Tripnet har vi idag hittat fram till processer vi tycker fungerar för oss när det gäller hantering av personuppgifter.
– Våra projektmål har varit att först sätta policys, riktlinjer och rutiner för att säkerställa att vi uppfyller den nya lagstiftningen, berättade Mats Sjöberg under Kunskapsfrukosten. Han utvecklade vidare:
– Sedan har vi också skapat ett metaregister. Det vill säga ett register över vilka register vi har. Det hjälper oss att få en överblick över de uppgifter vi har samlat in och även följa de rutiner vi har satt för respektive register. Det fungerar som ett internt regelverk som hjälper oss att agera enligt lagstiftningen.
Arbetet med projektet har lett till positiva effekter, utöver att vi följer den nya lagen. En rejäl forcerad storstädning.
– De nya reglerna har ju tvingat oss att rensa i all data som vi har lagrat i många år och vi har röjt bort allt vi inte behöver.
Lugnande råd
Många hade funderingar och frågor under Kunskapsfrukosten. Tyvärr är det inte helt enkelt att i alla dessa fall ge konkreta svar, då lagen är svårtolkad. Men ett råd från advokaten Erik Ullberg etsade sig fast:
– Har man varit tydlig, satt upp gallringsprinciper som är rimligt anpassade till verkligheten och kan påvisa att man tydligt har tänkt igenom vad som ska sparas och i vilket syfte, så har jag svårt att se att tillsynsmyndigheten kommer att slå ner på det, lugnade han.
Gemensam dialog
Vi på Tripnet har utifrån vår erfarenhet tagit fram några tips som vi gärna delger våra kunder, partners och förstås alla andra som är berörda av GDPR-frågan och som inte kunde närvara på Kunskapsfrukosten:
- Utgå alltid från de registrerade personernas rättigheter.
- Sök stöd från företagsledning och skapa medvetenhet kring frågan.
- Dra nytta av olika roller/kunskaper – ta hjälp när extern kompetens är nödvändig.
- Inventera nuläget.
- Dokumentera alla processer.
- Tänk igenom hur GDPR skall integreras i befintlig verksamhet, se det inte som en isolerad ö.
Vi tror på en gemensam dialog och diskussion för att hitta de bästa lösningarna. Hör gärna av er till oss om ni vill prata mer om GDPR, eller om något annat. Nästa Kunskapsfrukost blir till hösten, och då blir det fler intressanta ämnen på agendan. Väl mött då!
GDPR-fakta:
Den 25 maj ersätts personuppgiftslagen med dataskyddsförordningen (GDPR). Personuppgiftslagen (PuL) trädde i kraft 1998 och har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Begreppet ”behandlas” är brett. Det omfattar insamling, registrering, lagring, bearbetning, spridning, utplåning, med mera. Personuppgiftslagen bygger på gemensamma regler som har beslutats inom EU, det så kallade dataskyddsdirektivet. Övriga EU-länder har alltså liknande skyddslagar vilket underlättar flödet av information inom unionen.
