4. Bevisa samtycke
Företag måste kunna bevisa att de har samtycke från individer att hantera olika typer av uppgifter. Hur starkt beviset behöver vara är oklart, men att slentrianmässigt hävda att användaren har godkänt villkoren räcker inte. Man måste kunna visa när ett godkännande gavs och i vilken omfattning. Kanske kommer det innebära krav på digitala signaturer.
Värt att tänka på är att samtycke bara gäller för specificerad information, för det uttalade syftet. Om en person godkänner hantering av information om dennes puls innebär det inte att man med automatik får börja lagra blodtrycksvärden också. Det krävs ett nytt samtycke som kan bevisas.
Vem gör jobbet? Förutom utvecklare så behövs sannolikt säkerhetsexperter som kan implementera signeringslösningar.
5. Utse dataskyddschef
Enligt Pul behövs det i nuläget personuppgiftsansvariga personer. Enligt dataskyddsförordningen kommer det att behövs en ”data protection officer”, ungefär dataskyddschef. Jämfört med en personuppgiftsansvarig person kommer dataskyddschefen få fler ansvarsområden och skyldigheter, eventuellt kommer det att ställas krav på att det ska vara en extern person, ungefär som en revisor vad gäller ekonomi. Det kommer också att ställas krav på att löpande revisioner av hantering av data ska vara möjlig.
Vem gör jobbet? Här behöver en blandning av it-kunniga, jurister och ”revisorstyper” aktiveras.
Läs också: Febril aktivitet inom EU för att baxa igenom ny lag om dataskydd
6. Bara använda information till uttalat ändamål
Som nämnts i punkt 4 ovan innebär samtycke för att hantera personuppgifter från en person bara att informationen får användas för det uttalade syftet. Dataskyddsförordningen innebär att man måste kunna bevisa att så sker, vilket förutom tekniska lösningar ställer krav på ändamålsanalys av data. Eventuellt kommer det även att ställas krav på att revisioner ska kunna genomföras.
Vem gör jobbet? Sannolikt blir det administrativ personal som får utföra ändamålsanalyser och manuellt arbete som krävs för revisioner.
