Förlegat, dammigt, daterat. Ord som beskriver delar av regelverket som styr vad företag får och inte får göra. Reglerna har inte hållit jämna steg med den tekniska utvecklingen, byråkratin har inte hängt med. Samtidigt öppnar ny teknik för nya marknader och nya möjligheter att göra affärer. Vilket i sin tur kräver nya regler.

Computer Sweden har sammanställt vad du som it-chef, vd eller bara allmänt intresserad behöver veta. En guide till de viktigaste förändringarna och tips på hur ni ska förbereda er för kommande lagstiftning.

Läs också: EU:s nya datalagar är klara – miljardböter för it-företag som missköter sig

Dataskyddsförordningen

Ökat skydd, ökat ansvar – och risk för dryga böter
Ska man hantera personuppgifter måste man följa en hel del föreskrifter för att säkerställa uppgifternas säkerhet. Det har tidigare styrts av Personuppgiftslagen, som har sin grund i Dataskyddsdirektivet. Det rivs upp och ersätts med Dataskyddsförordningen. Visserligen börjar det inte gälla förrän om två år, men det ger företagen lite tid att anpassa sina it-system till de nya förutsättningarna. Datainspektionen går just nu igenom förordningen och har uppmärksammat en rad förändringar som påverkar företagen.

Här är de sex största förändringarna:

  1. Strängare krav på företag och myndigheter att informera om varför de behandlar personuppgifter, vilka de uppgifterna är och hur de hanteras.
  2. Behandlingen får bara ske i samtycke och uppgifterna får inte användas för något annat är vad individen gett sitt samtycke till.
  3. Företag och myndigheter måste kunna visa hur de hanterar uppgifterna på ett säkert och korrekt sätt .Det räcker inte att säga att de har rutiner, demåste kunna visa att de följs – till exempel kan det betyda att de snabbt måste kunna lämna ut registerutdrag. Företagen måste kunna göra en integritetsanalys. 
  4. Positionen personuppgiftsansvarig förändras. Varje företag/myndighet måste ha en dataskyddschef, data protection officer. Personen har större ansvar och fler skyldigheter än tidigare. Vissa företag behöver personuppgiftsombud, när det handlar om särskilt riskfylld personuppgiftshantering. Det är fortfarande oklart vilka som omfattas av det kravet. 
  5. Dataskydd som standard – känsliga data ska alltid krypteras. Detta kallas också privacy by default.
  6. Datainspektionen kan utfärda böter, administrativa sanktioner, till företag och myndigheter som inte sköter sig. Det kan bli dyrt, upp till fyra procent av organisationens omsättning. Eller 20 miljoner euro om organisationen inte är ett företag. 

Läs också: EU-toppar: ”Nu gör vi om upphovsrätten på nätet”

Syftet med förändringarna är att stärka skyddet för medborgarnas personuppgifter, allting har sin grund i rätten till ett privatliv. Det ska vara lätt att byta onlinetjänster, människor ska få mer insyn i hur deras personuppgifter hanteras och det ska vara lättare att klaga om man tycker att uppgifterna hanteras felaktigt. Datainspektionen kommer inom kort att komma med en guide med råd och tips, men de kommer utgå från sex följande tips.

Här är sex saker företagen redan nu bör göra:

  1. Gå igenom er personuppgiftsbehandling: vad har ni för uppgifter, hur hanteras informationen i dag och varför behövs den?
  2. Om ni inte redan har en personuppgiftsansvarig/dataskyddschef – utse en. Kompetens som är bra: it-kunnig, juridik. Utse eventuellt en personuppgiftsombudsman.
  3. Bedöm den rättsliga grunden för behandlingen av personuppgifter. Har ni sök stöd i ett samtycke tidigare, då kommer kraven se annorlunda ut framöver
  4. Se över hur ni i dag informerar de personer ni begär in information om. Är den tillräckligt tydlig, framgår det vad ni gör med informationen och varför?
  5. Sätt upp rutiner och funktioner för hur ni ska plocka bort information, hur ni ska flytta på data, register över er personuppgiftsbehandling, risk- och sårbarhetsanalyser samt hur ni ska anmäla och informera om dataskyddsincidenter.
  6. Skapa överenskommelser i branschen. Mycket kommer vara otydligt i början, genom att skapa gemensamma branschriktlinjer kan företag tvinga fram en bedömning av Datainspektionen för att få klarhet i vad som gäller.

Bara för att vi nu har en ny dataskyddsförordning betyder inte det att allt är glasklart. Datainspektionen håller just nu på att gå igenom lagtexten för att se vad den verkligen innebär. I och med att det är en EU-förordning gäller den som lag direkt. För offentlig sektor kan förordningen komma att betyda mer än för företag.

Det finns nämligen en del områden där Sverige skiljer sig från övriga Europa, särskilt offentlighetsprincipen och grundlagsskyddet för medier. Där måste Sverige argumentera för att våra lagar är förenliga med förordningen.

Läs mer på nästa sida: skärpta krav på it-säkerheten

Sida 1 / 2

Innehållsförteckning