Dataskyddsförordningen (GDPR, DSF)

2016-09-30

Det går nog inte en dag utan att Dataskyddsförordningen nämns. Vid det här laget torde alla veta vad det är, åtminstone har det magiska datumet den 25 maj 2018 och sanktionsavgifterna max 20 000 000 euro eller 4% av årsomsättningen, etsat sig fast hos flera. Trots en akt på över 100 detaljerade, och rätt väl översatta, sidor är alla detaljer långt ifrån klara.

Ett antal utredningar är tillsatta för att bringa klarhet. Gemensamt för flera är att de levererar resultat lagom till sommaren. Ooops. Då är det inte längre 20 månader kvar, utan knappt bara 9 månader kvar borträknat lite sommarledighet 2017.

Nu finns det absolut ingen anledning att vänta in klarhet i alla detaljer, speciellt inte om organisationen inte vet vilka tillgångar de har, än mindre vilka personuppgifter som behandlas. Det ska förtecknas och det ska tydliggöras hur behandlingen sker och på vilka grunder. Här krävs i nuläget ingen större tydlighet. Det behövs heller ingen större tydlighet i att ett personuppgiftsbiträde numera omfattas av förordningen i lika hög grad som den personuppgiftsansvarige.

Den som avvaktar med att sätta incidenthanteringsprocessen på plats i väntan på vad som exakt ska stå i incidentrapporten, eller till vem den ska lämnas, gör också sig själv en otjänst. Svårigheten är inte att utforma rapporten utan utmaningen är sannolikt att trimma in sin organisation att klara en leverans inom 72 timmar. En incident kan inträffa en fredag kl. 18:00 och då ska rapporten levereras senast måndag kl. 18:00.

De två aktiviteterna ovan är ändå ganska greppbara även om alla detaljer inte är kända. Frånvaron av missbruksregeln är en betydligt större utmaning – hur ska det tolkas?

En ganska enkel tolkning är att det inte längre går att gömma sig bakom den så kallade missbruksregeln som exempelvis innebar att ett mejl innehållande en personuppgift inte automatiskt betraktade mejlsystemet som ett register med personuppgifter, eftersom det ansågs som ostrukturerat data.

Här är det kanske önskvärt med förtydliganden, men givet den tydligheten att begreppet ostrukturerat data inte längre finns är detta ett exempel på en hygglig utmaning. Inte bara att ni ska kunna bevisa att ni tekniskt och organisatoriskt skyddar ert mejlsystem tillräckligt, som sannolikt innehåller känsliga personuppgifter, utan också det faktum att det ska motiveras på vilka lagliga grunder behandlingen sker, hur uppgifterna gallras och hur de kan lämnas ut etc. Här kan även det faktum att ni inte längre förfogar över ert mejlsystem ge ytterligare en dimension. Det ska också poängteras att mejlsystemet bara är ett exempel på ostrukturerad behandling.

Varje organisation behöver redan nu en plan för hur utmaningen ska bemästras:

  1. Skapa medvetenhet inom organisationen
  2. Utse ett dataskyddsombud (DPO)
  3. Inventera all behandling, rättsligt stöd och typ av behandling
  4. Efterlev de registrerades rättigheter
  5. Tillse incidentrapporteringsförmåga
  6. Se över alla avtalsrelationer
  7. Bevisa att ni har tillräcklig datasäkerhet

Med detta i ryggen kan resan påbörjas. Även om sikten inte är helt klar är kursen sedan länge känd. För den som inte har några avtryck av personuppgiftslagen i organisationen är resan betydligt längre. Under resan kommer sikten att klarna och målen bli tydligare.  Det finns ingen sistaminuten-resa denna gång.

Se detta som tillfället att börja arbeta strukturerat med informationssäkerhet så blir inte bördan lika stor nästa gång ni ställs inför en ny utmaning.