GDPR – är det dags att lägga fötterna på ryggen och fly från EU?
Ska vi flytta våra organisationer från EU, som Facebook precis har gjort, eller ska vi hjälpas åt att göra det digitala livet tryggare för oss alla? Vi ger dig konkreta tips för dig som är sen med att ta itu med GDPR.
Måste vi flytta vår organisation utanför EU?
Vi vågar nästan säga att alla har hört talas om GDPR (General Data Protection Regulation), åtminstone hoppas vi det eftersom det nu gäller att agera snabbt. Den 25 maj träder den nya lagen i kraft. Vad blir nästa steg? Vissa organisationer har redan nu börjat skicka ut sina uppdaterade användarvillkor medan det hänger över andra organisationer lite som ett tungt moln, just för att det kan vara svårt att veta hur man ska ta sig an den nya lagen. Ingen missade väl när Mark Zuckerberg, medgrundare och vd för den sociala mediajätten Facebook, fick förklara sig för den amerikanska senaten när miljontals användares personliga uppgifter hade sålts till tredje part? Eller när Facebook nu, bara veckor senare, bestämt sig för att flytta 1,5 miljarder konton (70 procent av Facebooks totala användare) utanför EU, för att undkomma EU:s krav för hanteringen av personuppgifter. Är det sådana drastiska åtgärder ni bör ta?
Fördelarna med GDPR
Låt oss förklara hur vi ser på GDPR. Det är ny grund att stå på och vi måste hitta nya sätt att förhålla oss till våra kunder och användare, men det är inte för att komplicera livet för våra organisationer eller för att komplicera den digitala användarupplevelsen. GDPR ersätter den nuvarande personuppgiftslagen (PUL) och innebär att alla EU-länder kommer ha samma hantering av personuppgifter på webben. Det kommer alltså att underlätta affärer inom EU men också ge dig som privatperson en trygghet i att oavsett i vilket EU-land du befinner dig, skyddas du av samma lag digitalt. GDPR är alltså till för att stärka medborgarnas rätt till integritet och förenkla det digitala samarbetet inom EU. För oss betyder det här inte alls att vi bör fly, eller försöka undkomma den nya lagen, utan för oss betyder det att vi utmanas till att förbättra tryggheten för alla våra kunder och användare.
15 GDPR-tips
Vi hjälper er genom att ge konkreta tips på hur er organisation kan påbörja arbetet med GDPR.
- Skapa ett projekt internt som hanterar GDPR för just er organisation.
- Ta reda på vad kravställningen blir på nya system och tjänster.
- Ta fram en nulägesbild som visar hur er organisations personuppgifter hanteras idag. Fundera över vilka uppgifter ni har lagrade och på vilket sätt. Vad är syftet med att ha uppgifterna lagrade?
- Identifiera var ni använder er av personuppgifter idag.
- Gör en plan för hur ni behöver ändra era rutiner och processer.
- Utse ett personuppgiftsombud som ser till att personuppgifter hanteras på ett korrekt och lagligt sätt inom organisationen. Detta är lagstadgat när det gäller organisationer som har över 250 anställda.
- Se över organisationens sourcingstrategi och leverantörsavtal eftersom det också blir otillåtet att anlita leverantörer som inte uppfyller kraven på GDPR.
- Undersök på vilket sätt ni kan motivera för era användare vad syftet är med att spara personuppgifter som namn, personnummer och mejladresser. Exempelvis genom att samla in samtycke från användarna, eller hänvisa till intressevägning där användarna måste ha möjlighet att säga nej till viss behandling av ens uppgifter.
- Fundera över hur ni tillämpar stöd för GDPR i era digitala produkter. Måste det verkligen leda till krångligare användning som exempelvis fler klick, eller kan ni hitta andra användarfokuserade lösningar?
- Användarna kommer att ha rätt att bli glömda, och då har ni en månad på er att radera personuppgifterna från era system. Skapa en plan för hur ni ska gå till väga när en sådan situation uppstår.
- Skapa interna policydokument avseende hanteringen av personuppgifter.
- Utbilda anställda, men också era kunder och varandra.
- Vid dataintrång har ni som organisation 72 timmar på er att rapportera intrånget till datainspektionen. Ta fram en säkerhetsplan för det.
- Delegera viktigt ansvar. Även om förhoppningen alltid är att det inte ska uppstå dataintrång eller en felhantering av personuppgifter, så är det bra att utse personer som är ansvariga vid en nödsituation.
- Ni måste informera era användare om hur deras uppgifter hanteras. Fundera på hur ni kan skapa en transparant relation till era användare. Börja med ärlighet och tydlighet.
Tillsammans är vi starka
Istället för att fly från EU och GDPR så möter vi tillsammans den utmaning som det innebär att göra det digitala livet säkrare. Vi realiserar varandras behov och integritet. Förminskar känslan av en IP-adress och förstärker känslan av att det finns en verklig person bakom varje användare. Medan någon organisation väljer att fly sin kos, rädda för att inte kunna ge sina kunder den trygghet dom förtjänar, står vi stadigt kvar tillsammans med er, och ser hur vi kan förbättra det digitala livet, för oss alla.
Vill du veta mer om hur du och din organisation ska hantera utmaningarna med GDPR så kan du kontakta oss på Knowit så hjälper vi dig att reda ut exakt vad det är som ni behöver göra.