Växande fråga att förbereda sig inför den nya dataskyddsförordningen

Blogginlägg -

Växande fråga att förbereda sig inför den nya dataskyddsförordningen

Sofia Bruno är Kivras senaste tillskott, Sofia är jurist med specialisering mot IT och integritetskyddsfrågor och kommer därför att jobba särskilt med just detta på Kivra. En växande fråga bland företag som vi är ute och träffar är hur den nya dataskyddsförordningen, som på sikt kommer ersätta PuL (personuppgiftslagen), kommer påverka deras verksamhet. Här tipsar Sofia om vad man kan göra redan nu för att förbereda sig och uppdaterar oss kring status.

Aktuell status - när förväntas dataskyddsförordningen träda i kraft?
Med stort intresse har jag följt arbetet med den kommande dataskyddsförordningen sedan det ursprungliga förslaget presenterades av EU-kommissionen i januari 2012. Nästan tre år senare har man ännu inte lyckats enas om en slutgiltig förordningstext inom EU:s olika lagstiftande organ, men nu uttrycks förhoppningar om att arbetet mot en ”färdig” dataskyddsförordning är i sluttampen. Utifrån denna prognos blir det nya regelverket gällande lag i Sverige och samtliga EU-länder år 2018.

Hög tid att göra sig redo!
Även om den nya dataskyddsförordningen ännu är på förslagsnivå är det hög tid för företag och organisationer som behandlar personuppgifter i sin verksamhet att förbereda sig inför de kommande striktare reglerna. Inte minst eftersom en av de största förändringarna med dataskyddsförordningen är de ingripande sanktioner som ett agerande i strid med förordningen kan innebära. Bötesbeloppen kan bli väldigt höga, upp till 5% av ett företags årliga globala omsättning. Det är därför god anledning att se över vilka åtgärder som kan vidtas redan nu för att så gott det är möjligt förbereda sig och minska risken för att de ingripande sanktionerna aktualiseras för verksamheten.

Vad kan man göra för att förbereda sig?
Ett bra sätt att förbereda sig är att se till att ha god kontroll på all personuppgiftsbehandling som sker i verksamheten idag och säkerställa att denna sker i enlighet med dagens regelverk (PuL och eventuell annan verksamhetsrelevant registerlagstiftning). God kontroll över verksamhetens personuppgiftsbehandling och tydliga implementerade rutiner och processer för detta gör det betydligt smidigare att vidta de åtgärder som krävs när det nya regelverket väl träder i kraft. Ytterligare en mycket viktig del är givetvis IT-säkerheten.

Enligt personuppgiftslagen ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. Exempel på tekniska åtgärder är krypteringsfunktioner, brandväggar och antivirusprogram medan organisatoriska åtgärder är knutna till verksamhetens säkerhetsarbete inom organisationen såsom rutiner, instruktioner, policyer m.m.

Vidta säkerhetsåtgärder med beaktande av tillgänglig teknik!
När man ska bedöma vilken nivå på säkerhetsåtgärder som krävs dvs. vilka tekniska och organisatoriska åtgärder som ska vidtas gäller generellt att ju fler och ju känsligare personuppgifter som behandlas, desto mer omfattande ska säkerhetsåtgärderna vara. Säkerhetsnivån ska även vara lämplig utifrån tillgänglig teknik, kostnaden för åtgärderna, om det finns några särskilda risker med behandlingen och hur pass känsliga uppgifterna är.

Just uttrycket ”tillgänglig teknik” vill jag gärna nämna något särskilt om eftersom jag upplever att detta ofta förbises eller missförstås. Sammantaget innebär detta krav att säkerhetsnivån ska sättas utifrån just tillgänglig teknik dvs. samtliga de tekniska lösningar som vid var tid finns tillgängliga på marknaden. När det exempelvis gäller känsliga personuppgifter som kommuniceras över öppna nät i försändelser såsom en lönespecifikation ställs särskilt höga krav på säkerheten. Den personuppgiftsansvarige är skyldig att vidta de säkerhetsåtgärder som krävs för att säkerställa att obehöriga inte kan ta del av de uppgifter som kommuniceras. I detta avseende kan exempelvis inte användning av e-post för kommunikation av känsliga personuppgifter anses vara ett tillräckligt säkert sätt att kommunicera med beaktande av tillgänglig teknik. Detta eftersom det är svårt att försäkra sig om att endast den avsedda mottagaren kan ta del av ett meddelande som skickas per e-post.

Som vi förstår innebär kraven på IT-säkerhet att verksamheten ständigt måste se över och följa upp vilka IT-säkerhetsåtgärder som behöver vidtas med avseende på verksamhetens personuppgiftsbehandling. Detta för att säkerställa att säkrast möjliga IT-lösningar och tjänster används för digital kommunikation där personuppgifter (särskilt känsliga personuppgifter) förekommer. I den kommande dataskyddsförordningen uppställs än mer detaljerade och uttryckliga krav i detta avseende såsom kontinuerlig riskmedvetenhet och konsekvensanalys för att säkerställa förmågan att vidta förebyggande, korrigerande och begränsande åtgärder i händelse av att en incident inträffar inom verksamheten som skulle kunna innebära en säkerhetsrisk för de personuppgifter som behandlas.

Som jurist med specialisering på IT och integritetskyddsfrågor ser jag fram emot att fortsätta följa utvecklingen på detta spännande och högaktuella område och återkomma till er med fler tips och uppdateringar. Jag ser särskilt fram emot att arbeta med dessa frågor här på Kivra eftersom Kivras digitala brevlåda är en utmärkt lösning för säker digital kommunikation.

Här kommer ytterligare några tips på vägen:

  • Se till att ha god kontroll över verksamhetens personuppgiftsbehandling.
  • Se över och uppdatera vid behov verksamhetens policyer, rutiner och riktlinjer för personuppgiftsbehandling så att dessa överensstämmer med tillämpliga regelverk och väl motsvarar den personuppgiftsbehandling som sker inom verksamheten.
  • Se till att tillräckliga tekniska och organisatoriska säkerhetsåtgärder vidtagits för personuppgiftsbehandlingen. Används tillräckligt säkra kommunikationsvägar med beaktande av tillgänglig teknik?
  • Se till att de kommande nya reglerna tas i beaktande vid ingående av nya avtal/samarbeten och vid implementering av nya/uppdaterade system. Kanske kommer avtalsförhållandet att sträcka sig längre än nuvarande regelverk förväntas gälla – tas detta höjd för i avtalet?


Kontakta mig gärna om ni vill diskutera detta vidare: 
E-post: sofia.bruno@kivra.com
Mobil: +46 (0) 70 207 92 88

Relaterade länkar

Ämnen

Kategorier

Kontakter

Henrik Höglin

Henrik Höglin

Presskontakt Kommunikationschef 073 518 18 93

Relaterat innehåll

Arriva digitaliserar alla sina lönespecifikationer

Arriva digitaliserar alla sina lönespecifikationer

Antalet företag och myndigheter som ställer om och skickar post via Sveriges digitala brevlåda Kivra växer snabbt. Arriva är ett av många företag som valt att skicka lönespecifikationer till sina anställda via Kivra.
En växande fråga bland företag är hur den nya dataskyddsförordningen, som på sikt kommer ersätta PuL (personuppgiftslagen), kommer påverka deras verksamhet. När det exempelvi

Nyhetsbrev #8

* ​Fortsatt momentum för Kivra *SBAB en av många nya avsändare *Växande fråga att förbereda sig inför den nya dataskyddsförordningen

Kostsamt missa nya regler för dataskydd

"Om bara någon månad förväntas EU:s nya dataskyddsförordning läggas på bordet och nu är det hög tid för svenska företag att rusta inför det regelverk som ska ersätta svenska personuppgiftslagen. För den som inte uppfyller regelkraven väntas höga böter". 
I artikeln "Kostsamt missa nya regler för dataskydd" intervjuas bl a Sofia Bruno, jurist med specialisering mot IT och integritetskyddsfrågor

Kivras jurist julrimmar om den kommande dataskyddsförordningen


Vi närmar oss helgdag, vi blickar mot jul,
men låt oss först ägna en tanke åt PuL.
För nu händer det mycket på dataskyddsområdet,
äntligen har de enats; Kommissionen, minister- och Europarådet.
EU är överens om innehållet i en ny dataskyddslagstiftning,
dess innehåll och form innebär en betydande skiftning.
En förordning med direkt effekt i EU:s medlemsländer,
att PuL ersä

"Take action for privacy in culture, code and customer experience"

"Take action for privacy in culture, code and customer experience"

Nyligen lanserades Legaltech.se, en blogg av och för IT-jurister, entreprenörer, akademiker och andra som rör sig i gränslandet mellan juridik och teknik. Bloggen kommer gästas av olika skribenter och idag gästas den av vår jurist, Sofia Bruno, som skriver om den kommande dataskyddsförordningen. Läs blogginlägget "Take action for privacy in culture, code and customer experience".

Sofia Bruno, jurist på Kivra, i intervju om den kommande dataskyddsförordningen

Sofia Bruno, jurist på Kivra, i intervju om den kommande dataskyddsförordningen

Idag har Breakit publicerat två artiklar om den kommande dataskyddsförordningen. I artiklarna intervjuas Sofia Bruno, dataskyddsexpert på Kivra, och Caroline Olstedt Carlström, internationell dataskyddschef på Klarna.
Läs artiklarna på breakit.se:
"Nya stenhårda dataregler hotar svenska startups med miljonböter"
"Juristernas startuptips: Så klarar du EU:s nya tuffa dataregler"

legaltech.se "Och priset för bästa recap av dataskyddsförordningen går till..."

legaltech.se "Och priset för bästa recap av dataskyddsförordningen går till..."

Sofia Bruno är jurist med specialisering mot IT och integritetskyddsfrågor här på Kivra. Vi är väldigt glada över att Sofia jobbar hos oss och inför julen visade hon upp en av sina dolda talanger, nämligen att rimma. Sofia publicerade en film med ett julrim om den kommande dataskyddsförordningen, en film som setts av många och som nu även uppmärksammats av den nystartade bloggen legaltech.se (se h

En bättre plats för dina viktigheter

Kivra är en plats där du kan samla dina viktigheter. Brev, fakturor, kvitton och annat – som du annars hade haft i pärmar, byxfickor eller i olika pappershögar. Säkert, tillgängligt och bra för miljön. Kivra ägs av 41an Invest (Karl-Johan Persson och Stefan Krook), FAM (Wallenbergstiftelserna), styrelse och personal. Läs mer på kivra.se

Kivra
Klara Norra Kyrkogatan 33
111 22 Stockholm
Kivra privat
Kivra företag