Skip to main content

Växande fråga att förbereda sig inför den nya dataskyddsförordningen

Blogginlägg   •   Okt 09, 2015 07:11 CEST

Sofia Bruno är Kivras senaste tillskott, Sofia är jurist med specialisering mot IT och integritetskyddsfrågor och kommer därför att jobba särskilt med just detta på Kivra. En växande fråga bland företag som vi är ute och träffar är hur den nya dataskyddsförordningen, som på sikt kommer ersätta PuL (personuppgiftslagen), kommer påverka deras verksamhet. Här tipsar Sofia om vad man kan göra redan nu för att förbereda sig och uppdaterar oss kring status.

Aktuell status - när förväntas dataskyddsförordningen träda i kraft?
Med stort intresse har jag följt arbetet med den kommande dataskyddsförordningen sedan det ursprungliga förslaget presenterades av EU-kommissionen i januari 2012. Nästan tre år senare har man ännu inte lyckats enas om en slutgiltig förordningstext inom EU:s olika lagstiftande organ, men nu uttrycks förhoppningar om att arbetet mot en ”färdig” dataskyddsförordning är i sluttampen. Utifrån denna prognos blir det nya regelverket gällande lag i Sverige och samtliga EU-länder år 2018.

Hög tid att göra sig redo!
Även om den nya dataskyddsförordningen ännu är på förslagsnivå är det hög tid för företag och organisationer som behandlar personuppgifter i sin verksamhet att förbereda sig inför de kommande striktare reglerna. Inte minst eftersom en av de största förändringarna med dataskyddsförordningen är de ingripande sanktioner som ett agerande i strid med förordningen kan innebära. Bötesbeloppen kan bli väldigt höga, upp till 5% av ett företags årliga globala omsättning. Det är därför god anledning att se över vilka åtgärder som kan vidtas redan nu för att så gott det är möjligt förbereda sig och minska risken för att de ingripande sanktionerna aktualiseras för verksamheten.

Vad kan man göra för att förbereda sig?
Ett bra sätt att förbereda sig är att se till att ha god kontroll på all personuppgiftsbehandling som sker i verksamheten idag och säkerställa att denna sker i enlighet med dagens regelverk (PuL och eventuell annan verksamhetsrelevant registerlagstiftning). God kontroll över verksamhetens personuppgiftsbehandling och tydliga implementerade rutiner och processer för detta gör det betydligt smidigare att vidta de åtgärder som krävs när det nya regelverket väl träder i kraft. Ytterligare en mycket viktig del är givetvis IT-säkerheten.

Enligt personuppgiftslagen ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. Exempel på tekniska åtgärder är krypteringsfunktioner, brandväggar och antivirusprogram medan organisatoriska åtgärder är knutna till verksamhetens säkerhetsarbete inom organisationen såsom rutiner, instruktioner, policyer m.m.

Vidta säkerhetsåtgärder med beaktande av tillgänglig teknik!
När man ska bedöma vilken nivå på säkerhetsåtgärder som krävs dvs. vilka tekniska och organisatoriska åtgärder som ska vidtas gäller generellt att ju fler och ju känsligare personuppgifter som behandlas, desto mer omfattande ska säkerhetsåtgärderna vara. Säkerhetsnivån ska även vara lämplig utifrån tillgänglig teknik, kostnaden för åtgärderna, om det finns några särskilda risker med behandlingen och hur pass känsliga uppgifterna är.

Just uttrycket ”tillgänglig teknik” vill jag gärna nämna något särskilt om eftersom jag upplever att detta ofta förbises eller missförstås. Sammantaget innebär detta krav att säkerhetsnivån ska sättas utifrån just tillgänglig teknik dvs. samtliga de tekniska lösningar som vid var tid finns tillgängliga på marknaden. När det exempelvis gäller känsliga personuppgifter som kommuniceras över öppna nät i försändelser såsom en lönespecifikation ställs särskilt höga krav på säkerheten. Den personuppgiftsansvarige är skyldig att vidta de säkerhetsåtgärder som krävs för att säkerställa att obehöriga inte kan ta del av de uppgifter som kommuniceras. I detta avseende kan exempelvis inte användning av e-post för kommunikation av känsliga personuppgifter anses vara ett tillräckligt säkert sätt att kommunicera med beaktande av tillgänglig teknik. Detta eftersom det är svårt att försäkra sig om att endast den avsedda mottagaren kan ta del av ett meddelande som skickas per e-post.

Som vi förstår innebär kraven på IT-säkerhet att verksamheten ständigt måste se över och följa upp vilka IT-säkerhetsåtgärder som behöver vidtas med avseende på verksamhetens personuppgiftsbehandling. Detta för att säkerställa att säkrast möjliga IT-lösningar och tjänster används för digital kommunikation där personuppgifter (särskilt känsliga personuppgifter) förekommer. I den kommande dataskyddsförordningen uppställs än mer detaljerade och uttryckliga krav i detta avseende såsom kontinuerlig riskmedvetenhet och konsekvensanalys för att säkerställa förmågan att vidta förebyggande, korrigerande och begränsande åtgärder i händelse av att en incident inträffar inom verksamheten som skulle kunna innebära en säkerhetsrisk för de personuppgifter som behandlas.

Som jurist med specialisering på IT och integritetskyddsfrågor ser jag fram emot att fortsätta följa utvecklingen på detta spännande och högaktuella område och återkomma till er med fler tips och uppdateringar. Jag ser särskilt fram emot att arbeta med dessa frågor här på Kivra eftersom Kivras digitala brevlåda är en utmärkt lösning för säker digital kommunikation.

Här kommer ytterligare några tips på vägen:

  • Se till att ha god kontroll över verksamhetens personuppgiftsbehandling.
  • Se över och uppdatera vid behov verksamhetens policyer, rutiner och riktlinjer för personuppgiftsbehandling så att dessa överensstämmer med tillämpliga regelverk och väl motsvarar den personuppgiftsbehandling som sker inom verksamheten.
  • Se till att tillräckliga tekniska och organisatoriska säkerhetsåtgärder vidtagits för personuppgiftsbehandlingen. Används tillräckligt säkra kommunikationsvägar med beaktande av tillgänglig teknik?
  • Se till att de kommande nya reglerna tas i beaktande vid ingående av nya avtal/samarbeten och vid implementering av nya/uppdaterade system. Kanske kommer avtalsförhållandet att sträcka sig längre än nuvarande regelverk förväntas gälla – tas detta höjd för i avtalet?


Kontakta mig gärna om ni vill diskutera detta vidare: 
E-post: sofia.bruno@kivra.com
Mobil: +46 (0) 70 207 92 88

Kommentarer (0)

Lägg till kommentar

Kommentera

Genom att skicka din kommentar accepterar du att dina personuppgifter behandlas i enlighet med Mynewsdesks Integritetspolicy.