GDPR börjar gälla Maj 2018 – Vad är nytt?

GDPR (General data protection regulation) är de nya EU-direktiven som ersätter den befintliga personuppgiftslagen (PUL). GDPR verkställs i alla EU-länder samt Storbritannien den 25:e Maj 2018. GDPR-direktiven kommer att gälla för samtliga företag inom EU som lagrar personuppgifter om EU-medborgare oavsett var datan bearbetas och lagras. Huvudsyftet med de nya direktiven är att skydda EU-medborgare mot dataöverträdelser. Följs inte dessa direktiv så kan böter utdelas på 20 miljoner euro eller 4% av den årliga omsättningen (det som är störst).

Vad är då personuppgifter?

All slags information som direkt eller indirekt kan hänföras till en fysisk person.

  • Namn
  • Ip-Nummer
  • Adress
  • Telefonnummer
  • Lösenord
  • Kreditkortsnummer

Vad är nytt?

  • Samtycke – För att personuppgifter ska få bearbetas så behövs samtycke från individen. Detta samtycke måste ges aktivt, på ett tydligt sätt och får inte vara i form av förbockade kryssrytor. Redan existerande samtycken som följer GDPR-riktlinjerna behöver inte förnyas.
  • Sekretess genom design – Grundprincipen är att personuppgifterna ska skyddas så väl att endast de personerna som behöver se uppgifterna i bearbetningssyfte får se dem, och att ingen information utöver det som behövs för bearbetning ska lagras. Data som har uppfyllt sitt syfte ska raderas och data som lagras för framtida bruk eller av legala skäl ska skyddas ännu hårdare.
  • Anmälan om överträdelse – Om personuppgifter misstänks ha hamnat i fel händer så måste samtliga berörda individer delges information om vad som har hänt, konsekvenserna av överträdelsen och hur problemet löses. Denna information måste delges direkt till individen inom 72 timmar.
  • Dokumentation – All bearbetning av personuppgifter måste dokumenteras. För företag med färre än 250 anställda krävs detta endast om bearbetningen innebär en risk att individers rättigheter eller frihet påverkas.
  • Rätten att invända – Individen har rätt att invända mot bearbetning av personuppgifter för direkt marknadsföring, i forskningssyfte eller i statistiksyfte. Har personuppgifter delgivits online så ska möjligheten att invända även finnas online.
  • Rätten till rättelse – Om en individs personuppgifter är felaktiga så har hen rätten att få dessa uppgifter rättade.
  • Rätten att bli glömd – Om individen har återkallat samtycke till bearbetning eller om personuppgifterna av annan anledning inte längre uppfyller sitt syfte så har individen rätt att få personuppgifterna borttagna. Detta gäller inte data som behövs i informations- eller yttrandefrihetssyfte.
  • Rätten att begränsa bearbetning – Individen har rätt att begränsa bearbetning av ens personuppgifter om datan är inkorrekt, om bearbetningen av datan är olaglig eller om datan inte kan tas bort av lagliga skäl. Detta betyder dock inte att datan måste raderas.
  • Rätten att bli informerad – När individen delger sina personuppgifter så ska hen informeras om sin rätt att invända, vad personuppgifterna ska användas till och hur länge informationen ska bearbetas. Har inte personuppgifterna anskaffats direkt från individen så ska hen informeras inom rimlig tid (max en månad).
  • Rätt till åtkomst – Individen ska alltid ha rätt att fråga om huruvida ens personuppgifter lagras och om de behandlas. Och i så fall i vilket syfte. Denna information måste delges inom en månad antingen verbalt eller digitalt efter att identifikation av personen i frågan har gjorts på ett vettigt sätt.
  • Dataportabilitet – Personuppgifter ska även kunna levereras digitalt i ett känt läsbart format (t.ex. CSV).

Vad betyder detta för er som kör Microsoft Dynamics AX/365?

Det finns ett flertal verktyg som möjliggör ett fullgott skydd av personuppgifterna i Microsoft Dynamics AX.

  • Role-based security
  • Record-level security
  • Field-level security
  • Active directory

Att exportera data som CSV är sällan ett problem heller vilket uppfyller kravet på dataportabilitet.

Den stora utmaningen i att implementera GDPR kommer oftast inte vara det tekniska, utan att genom utbildning skapa en kultur där datasäkerhet är viktigt.
I slutändan kommer det att handla om att ändra rutiner och att skapa ett visst ”mindset” hos personalen som har tillgång till eller bearbetar personuppgifter.

Källor

Nyttolänkar

Skrivet av