GDPR (General Data Protection Regulation)

GDPR Lagstiftning: Tid kvar

Jag har läst massor av artiklar om GDPR och de flesta har varit väldigt politiska samt svåra att tyda/ förstå. Så ska det inte vara då alla måste förstå vad detta innebär och på vilket sätt denna nya EU-lag påverkar dig som enskild person men framförallt – hur det påverkar våra svenska företag och deras hantering av data i olika sammanhang.


 

Alla företag som på ett eller annat sätt gör affärer i Europa är skyldiga att följa GDPR, EU:s datalagstiftningVad innebär det och vad behöver vi göra rent praktiskt?

 

GDPR är till för att skydda Europeiska invånares rätt till ett privatliv. Det har länge funnits motsvarande lagstiftning i Sverige (PuL, Person Uppgifts Lagen), men denna har varit mer eller mindre tandlös då det inte funnits några större incitament för att verkligen följa den.

GDPR standardiserar lagstiftningen över hela EU och till skillnad från tidigare lagstiftning kan brott mot lagen innebära en sanktionsavgift. Ett företag kan nu få böta upp till 20 miljoner euro eller 4% av bolagets totala omsättning.

Alla misstänkta övertramp mot GDPR kan anmälas av alla Europeiska privatpersoner och företag till sitt lands motsvarighet till Datainspektionen. Det är sedan upp till dem att undersöka det misstänka brottet.

På så sätt kan GDPR komma att användas som ett vapen för att sätta krokben för företag som inte anpassar sig. Att säkerställa att man följer lagstiftningen blir därför av högsta intresse för alla företag.

Här kommer företaget du arbetar och alla anställda in i bilden.


 

Vad kommer jag att lära mig efter denna genomgång?

  1. Vad persondata är
  2. Vilka krav som ställs på ett företag
  3. Vad vi behöver göra på;

vår och våra kunders webbplats


 

Snabbguide till GDPR:

  • Vi får inte samla in fler personuppgifter än nödvändigt
  • Vi får bara samla in data för i förväg, bestämda ändamål
  • Data får inte sparas längre än nödvändigt
  • Data bör inte sparas på fler platser än nödvändigt, och så få som möjligt bör ha tillgång till dem
  • Data får inte lagras utanför EU länder eller;
  • Användare har rätt att veta vad för data vi har sparat om dem
  • Användare har rätt att bli bortglömda (raderade)
  • Dataläckor måste rapporteras till datainspektionen.
  • Dokumentation för hur vi hanterar personuppgifter
  • Alla leverantörer som hanterar personuppgifter måste följa GDPR
  • Vi måste ha ett personuppgiftsbiträdesavtal med varje leverantör
  • Vi bör (måste) utse en personuppgiftsansvarig

 

GDPR handlar om personuppgifter
Alla uppgifter som skulle kunna leda till identifieringen av idag levande personer är att betrakta som personuppgifter.

Ibland lagras uppgifterna på grund av lagliga skäl (anställningsavtal, bokföring) och ibland lagras de i marknadsföringssyfte (marketing automation, CRM, e-post listor).

I GDPR inkluderar även saker som ej är direkt kopplade till personuppgifter. Till exempel;

  • Platsdata
  • Online identifierare (exempelvis ett användarnamn)

 

Känsliga personuppgifter
Utöver vanliga personuppgifter så finns det andra uppgifter som betraktas som känsliga – exempel på dessa är:

  • Ras, etnicitet och/ eller ursprung
    • Genetisk data
    • Biometrisk data
    • Politiska åsikter
    • Religiösa eller filosofiska åskådningar
    • Facklig tillhörighet
    • Hälsodata
    • Sexuell läggning & böjelse
    • Tidigare kriminalitet (domar)

 

Känsliga personuppgifter kräver att man har särskilt samtycke för hanteringen av uppgifterna och att man har ansträngt sig för att ha en högre säkerhet för hur uppgifterna hanteras. Viktigt att komma ihåg är: ett brott mot GDPR kan ge ett betydligt högre straff än ett ”vanligt” övertramp. Du minns väl 4% av bolagets omsättning?


 

GDPR implementeras i hela företaget
GDPR är inte någonting som kan implementeras som en ”snabbfix”. Det är ett tankesätt och en attityd som skall implementeras för att skydda alla kunder och medborgare.

GDPR består av 99 artiklar och kompletteras med uppförandekoder och liknande – men för att förenkla kan man sammanfatta GDPR till följande;

  • Dokumentation, information, kommunikation och samtycke.
  • Skydd av individens rättigheter (exempelvis personuppgifter)
  • GDPR i arbetsflöden, även kallat ”Privacy by design”

 

Dokumentation, information, kommunikation och samtycke
En av de viktigaste sakerna i GDPR är dokumentation. Rent krasst så kan man säga att det krävs väldigt lite automatiserade verktyg och IT projekt för att kunna följa GDPR, det viktigaste är att tillvägagångssättet finns dokumenterat.

GDPR handlar om att veta vad du har, veta vad du gör med det, veta var det är lagrat, veta vem som har tillgång till det och veta hur du hanterar säkerheten runt det. Alla tänkbara aspekter måste gås igenom vilket innebär allt från gamla e-postkonfigurationer till listor i Excel lagrade på USB-minnen till intern back-up av klientdata på en intern server.

Man skulle kunna säga så här; alla i organisationen behöver veta och förstå företagets sätt att hantera GDPR och allting behöver vara dokumenterat för de som eventuellt inte vet.

Det kommer att bli två olika typer av information. Intern och extern. Intern dokumentation innebär i princip pappersform medans extern information innebär sådant som t ex publiceras på vår webbplats.


 

Kommunikation
Det mest grundläggande steget är att se till att alla i organisationen, inhyrda och anställda, är medvetna om hur GDPR påverkar deras arbete.

Allt ifrån personen som fixar fruktkorgen till VD och styrelse. Det låter tjatigt men det tål att upprepas; alla måste med på detta. Jag betvivlar att något företag eller person vill erkänna sig skyldiga till böter på x-antal miljoner? Nej, precis.

Detta innebär också att policys måste upprättas och allteftersom de anställda och övrigt påverkade tagit del av materialet så ska dessa policys arkiveras. Alla kommer inte bli experter på dataskydd över en natt, men samtliga måste bli uppmärksamma på;

  • Vad persondata är
  • Vad man får göra med persondata
  • Hur de inkorporerar dataskydd i utformning av produkter
  • Hur de inhämtar samtycke
  • Deras egna rättigheter
  • Vad en ”personuppgiftsincident” innebär
  • Vilka rapportmekanismer används för att rapportera en incident

 

Sekretessinformation
GDPR kräver även att organisationen blir mer (ytterligare) transparent kring hur man använder men framförallt; hur man informerar kring data. All sekretessinformation måste vara lättbegriplig och den ska finnas på alla företags webbplatser. Texten skall vara skriven för den tilltänkta målgruppen och ja, har man en webbplats med olika spel riktade till barn så behövs ett språk som barn förstår.

Här krävs det också att företaget erbjuder möjligheten att ”tacka nej”.

 

Företaget måste alltså erbjuda, för den som inte vill ”bli trackad”, att spårning via unika cookies som identifierar en specifik enhet eller person, att allt sådant ”stängs av”. En möjligheten till att ”tacka nej” till att bli spårad helt enkelt. Kakor (cookies) räknas som att samla in data.

 

Om man till exempel har ett Marketing Automation verktyg (tex Hubspot) och ett analysverktyg (tex Google Analytics) som sparar persondata på olika sätt så måste användaren ha möjlighet att på ett automatiserat sätt säga att de inte vill ha dessa cookies – och då skall dessa inte heller ges till användaren.

 

Denna granuläritet hör inte nödvändigtvis till GDPR utan snarare tidigare lagstiftning runt cookies, men GDPR skapar ett behov av bättre verktyg då moderna marknadsföringsverktyg är till för att spåra användares beteende – och räknas därför in under GDPR.

Detta innebär att de ”cookievarningar” som finns idag inte blir godkända.

 

Under GDPR så bör företag ha utsett ett dataskyddsombud. Ombudet behöver inte ha några speciella kunskaper eller utbildningar – men blir den internt ansvariga för att företaget implementerar dataskydd på ett fullgott sätt. För att detta skall bli bra behöver personen vara bekväm med att ta upp svåra frågor och kunna utmana samtliga processer och tillvägagångssätt inom bolaget utan risk för repressalier.

Dataskyddsombudet skall vara oberoende utan direkt samverkan med ledningen/ styrelsen etc. Det är t ex inte lämpligt att utse IT-chefen.

 

I slutändan är det dock företagets ansvar att man följer GDPR då dataskyddsombudet primärt är en intern funktion som ser till att kraven uppfylls. Att utse en person enbart för syns skull är därför rent av kontraproduktivt – det viktigaste är att företaget följer GDPR. Igen, tänk på att företaget riskerar bötesbelopp i miljonklassen.


 

Samtycke
I GDPR så måste all insamling av personuppgifter ske med samtycke.

Samtycke måste vara aktivt. Samtycke måste ges frivilligt och komma från av användaren. Det får ej vara ett förvalt standardalternativ i t ex en webbläsare.

 

Granulärt. Samtycke måste vara granulärt. Det är alltså inte tillåtet att enbart erbjuda ett ”allt eller inget” alternativ för besökaren. Att kunna tacka nej till spårnings-cookies men godkänna cookies för att webbplatsen skall fungera är okej. Nyhetsbrev får ej ske per automatik när man skapar ett användarkonto, det måste alltså bli valbart.

 

Ovillkorligt. Samtycke måste vara ovillkorligt. Användare kan inte bli tvingade att ge samtycke till något för att få något. Till exempel kommer det inte längre vara tillåtet att ”ge bort” ett s.k. ”white paper” i utbyte mot en e-postadress och sedan spamma samma e-postadress med nyhetsbrev.

 

Däremot vad som kommer vara tillåtet är att sälja ett white paper för 0 kronor där det ingår en prenumeration av ett nyhetsbrev som man ger samtycke till. White Paper är oftast produktinformation som används i försäljningssyfte.

Att man definierar det hela som en affärstransaktion kommer att vara av yttersta vikt för marknadsförare.

 

Transparent. Samtycke måste vara transparent. Användaren har rätt att veta detaljerad information om alla parter som hanterar och behandlar hens data och varför de gör det.

 

Rättvisa. Samtycke måste innehålla rättvisa. Samtycke kan inte skapa en orättvis relation mellan användaren och databehandlaren. Exempelvis så blir det en orättvis relation att tvinga de anställda att använda en intern applikation som övervakar de anställdas geografiska plats även utanför deras arbetstid.

 

Samtycke måste vara verifierbart och dokumenterat. Det måste finnas bevis, kunna bevisas att användaren gav sitt samtycke, hur samtycket gavs, vilken information som gavs, vad de gick med på, när de samtyckte samt om de har dragit in sitt samtycke.

 

Undantaget: Rättsliga grunder
Personuppgifter får lagras utan samtycke men endast när man har en rättslig grund. Lagstiftningen gör att företag ibland är skyldiga att registrera personuppgifter.

Exempel; alla företag måste uppfylla bokföringsskyldigheten enligt bokföringslagen. Hit räknas till exempel listor på människor som varit på event och blivit bjudna på saker.

Avtal är ett annat exempel där företag måste registrera och hantera personuppgifter. Det kräver dock att man endast lagrar de uppgifter som behövs för att uppfylla avtalet. Varken mer eller mindre.

Intresseavvägning är en gråzon som kan användas för att väga individens rättigheter mot företagets behov. Till exempel skulle en lista med potentiella kunder med en viss titel inom ett visst segment kunna vara en godkänd lista. En lista över personer som varit på event och inte blivit bjudna på saker, det är inte en godkänd lista.


 

Skydd av individens rättigheter
En av de viktigaste grundpelarna i GDPR är individens rätt över sin data och européer har alltid haft mer rätt än andra över hur deras information används. För företag innebär det att dessa rättigheter måste respekteras och implementeras i arbetsflöden.

Utöver detta så måste ett företag svara på vilken data som finns. Svaret måste även vara handlagt på ett transparent sätt och genomföras inom rimlig tid vilket inte får misstolkas till veckor eller månader.

Användarnas rättigheter är:

  • Rätten att bli informerad genom sekretessinformation
  • Rätten att få tillgång till den data vi har om dem
    (känt som att ”Begära registerutdrag”)
  • Kunna ladda ner sin data och överföra den till en annan leverantör
  • Rätten att korrigera fel i vår data
  • Rätten att få viss typ av data borttagen
    (känt som ”Rätten att bli bortglömd”)
  • Rätten att begränsa hanteringen
    (hur vi använder kundens data)
  • Rätten att bestrida hanteringen

(till exempel för användning i automatiserade processer)


 

Begära registerutdrag
Att begära registerutdrag (Subject Access Request på engelska) är en rättighet som alla europeiska invånare haft under lång tid. Man kan förvänta sig att få begäran om registerutdrag från individer som vill ha:

  • Bekräftelse att vi processar deras data
  • En kopia av all data som vi har om individen
  • Information om vilka tredje parter vi lämnat vidare deras data till

 

En registerutdragsförfrågan måste genomföras inom rimlig tid. Eftersom det är en rättighet får vi inte ta ut en avgift för att tillhandahålla information. Detta kan bli kostsamt för oss om vi får många förfrågningar vid manuell hantering (papper). Vi måste även ha en dokumenterad process för hur registerutdragsförfrågan hanteras.

 

”Rätten” att få bli bortglömd
Ens rätt att få lov att bli bortglömd kan lätt feltolkas. Många ser det som ett sätt att kunna censurera och ta bort information om sig själv på nätet. Så fungerar det naturligtvis inte. Rätten att bli bortglömd kan bara användas för att:

  • Den personliga informationen är inte längre är nödvändig
  • Individen tar tillbaka sitt samtycke
  • Informationen är inte nödvändig
  • Informationen inhämtades olagligt
  • Raderandet av information inte bryter mot någon lag
  • Informationen handlar om ett ej myndigt barn

Detta innebär alltså att det inte går att ta bort sig själv helt ur en kunddatabas men att det går att ta bort sig själv från en ”leadlista”.

 

Rätten att kunna ladda ner sin data
För oss som använder WordPress och WooCommerce så har vi redan i grunden goda möjligheter till portabilitet. WordPress är byggt för enkel migration till skillnad från proprietära lösningar eller hyrlösningar. Valet av plattform blir av denna anledning viktig. WordPress blir det primära valet vid en CMS eller E-handels upphandling.

 

Om en person gör ett registerutdrag måste vi vara beredda på att kunna tillhandahålla hen med alla uppgifter. Olika WordPress och WooCommerce implementationer kan lagra personuppgifter på olika sätt och därför kan en standardiserad lösning bli lösningen.


 

Profilering, aggregering och marknadsföring
Att använda system för att knyta ihop olika datakällor kan vara oerhört jobbigt för både arbetsgivare och marknadsförare. Dessa system kan användas för att kartlägga till exempel:

  • Anställdas arbetsprestation
  • Människors hälsa
  • Personliga preferenser
  • Pålitlighet
  • Beteende
  • Plats eller rörelser

 

Idag använder sig många av s.k. Marketing Automation Systems. I dessa system aggregeras data från flera olika källor för att ge en helhetsbild av kunder och deras behov. För att få lov att göra detta så måste man som användare dels få lov att tacka nej (genom att till exempel inte acceptera marknadsförings-cookies), men det måste också finnas detaljerad information om hur man kommer att använda deras data.

 

Detta kommer att ställa krav på till exempel olika digitalbyrås. Dom används ofta för att guida oss kring implementation av digitala lösningar. Det går inte längre att förutsätta att man kan använda data hämtat från ett formulär hur man vill.

 

Ad-hoc lösningar och efterkonstruktioner kommer ej längre vara acceptabla. Köper man ett Marketing Automation System måste man ha en tydlig plan med varför och hur man skall använda det, och detta måste reflekteras i företagets sekretessinformation.


 

Rapportera dataläckor
GDPR kräver att företag förbereder för dataläckor. De flesta dataläckor går att undvika. Mycket av ”förberedelserna” går ut på att säkra verksamheten men handlar också om att förbereda för värsta tänkbara scenario.

 

Alla dataläckor måste rapporteras till Datainspektionen inom 72 timmar från det att läckan upptäcktes. Alla läckor som inkluderar individers rättigheter och friheter måste rapporteras. Om läckan påverkar ett stort antal personer eller innehåller känslig persondata måste läckan även omedelbart rapporteras till de drabbade individerna.

En rapport måste innehålla följande information:

  • Vilken typ av användardata som har läckt
  • Hur många individer som påverkats
  • Hur många datafält som är inblandade
  • Information om hur läckan upptäcktes, och av vem
    (exempel: via intern rapportering eller via kunds klagomål)
  • Information om vem som var ansvarig för läckan
  • Information om hur läckan hände
  • Vilka konsekvenser har läckan fått
    (exempel: kontokortsuppgifter läcktes och transaktioner har gjorts på kunds/kunders konton)
  • Vilka åtgärder har tagits för att hantera läckan
    (exempel: kontakta kunder, nollställa alla lösenord osv)
  • Vilka åtgärder kommer tas för att hantera konsekvenser av läckan
  • Namn och kontaktinformation till ert dataskyddsombud

Tänk på att information som kan skada eller påverka utredningen av dataläckan inte behöver delges i den initiala rapporteringen av dataläckan.


 

Hosting av data inom EU
Under GDPR så får persondata inte överföras och lagras utanför EU. Det är och blir tillåtet om landet dit informationen överförs till kan garantera samma nivå av dataskydd som Sverige. Detta innebär till exempel att företag som använder företag utanför EU för drift & lagring (host) kan behöva se över sitt/sina val av leverantör.

 

För Amerikanska bolag finns Privacy Shield, ett frivilligt initiativ vars ambition är att uppnå samma nivå som EU:s lagstiftning. Privacy shield är långt från ett perfekt system då organisationen historiskt sett blivit ifrågasatt av inte bara Europeiska intressen utan även av den Amerikanska administrationen. Privacy Shield är därför att betrakta som ett dött projekt och som ett företag man vill undvika. 

 

GDPR säkra era leverantörer
Det blir vårt ansvar att se till att våra leverantörer är GDPR säkrade. Det är och blir vårt ansvar att se till att våra leverantörer kan hantera personuppgiftsdata på ett säkert sätt.

 

GDPR säkra er webb/reklam/content digitalbyrå
När vi köper in olika marknadsföringstjänster är det viktigt att vi granskar deras processer. För oss som arbetar med kod så innebär detta till exempel att vi måste anonymisera persondata när vi flyttar information från t ex produktionsmiljö till testmiljö på ett automatiserat sätt.

 

Utöver detta behöver leverantören ha uppsatta processer och strukturerad dokumentation som säkrar att hanteringen av personuppgifter sker på ett korrekt sätt. Vi behöver utöver detta även teckna ett personuppgiftsbiträdesavtal för vår(a) leverantör(er).


 

Inarbetning av GDPR i arbetsflöden
GDPR måste implementeras både lång- och kortsiktigt.

Långsiktigt innebär hur man gör allt från att utforma sina IT-system till hur marknadsavdelningen arbetar medans kortsiktigt mer handlar om saker vi kan åtgärda här och nu.

Jag rekommenderar därför att ni kontaktar ett företag som till exempel Systemstrategerna för att guida er inför en bredare GDPR-översyn och implementation.

 


 

GDPR säkra WordPress & WooCommerce
För WooCommerce och WordPress behöver vi bygga in stöd som gör det möjligt för registrerade kunder att radera sitt användarkonto vilket också per automatik raderar dem från alla andra eventuella register samt databaser som vi tillhandahåller där kund förekommer.

Till exempel så blir detta en funktion för WooCommerce där kunden har både sina personuppgifter lagrade men även betalningsuppgifter. SSL (Secure Socket Layer) är ett måste för alla webbplatser vi har i drift vilket naturligtvis inkluderar samtliga webbplatsers subdomäner och samtliga av deras eventuella subdomäner. Se exempel:

osv.

Denna typen av säkerhet gällande krypterad överföring av information (SSL) sker via ett så kallat ”SSL wildcard”. Personen som ansvarar för drift och servrar måste se till att våra webbplatser inte sparar uppgifter som kan orsaka problem i framtiden och hen måste skapa den eventuella mjukvaran som krävs så att:

  • Uppsättning så att uppgifter som inte bör lagras inte lagras
  • GDPR säkrad hosting med SSL
  • Genomgång av datainsamling för att säkra samtycke
  • Tillägg för att säkra valmöjlighet i vilka cookies användaren får
  • Skräddarsydda tillägg för automatiserade registerutdrag
  • Säkring av dataportabilitet

 

Sammanfattning 

Datagenomgång

  1. vad har vi och var har vi den?
  2. oavsett online, offline, intern eller extern – kontrollera.
    aktiva samt inaktiva projekt – kontrollera.

Datalagring

  1. Var lagrar vi vår data?
  2. All datalagring måste ske inom EU såvida inte landet tillhandahåller
    samma säkerhet, kontroll och skydd som Sverige.

Dataskydd

  1. Vem har tillgång till vad?
  2. ISO 27001 är en bra riktlinje för hur vi uppfyller GDPR:s krav på dataskydd.

Information

  1. Skapa sekretessinformation för alla tjänster och produkter.
  2. Informera på webbplatsen om:
    1. vad samlar vi data till/ för
    2. hur den kommer att användas

Dataskyddsombud: Utse ett dataskyddsombud vars uppgift är att GDPR-säkra oss.

Samtycke

  1. Vilka samtyckesprocesser har vi?
    1. hur fungerar formulären på vår webbplats?
    2. har webbplatsen möjlighet att granulärt tacka nej till cookies?
    3. gå igenom våra befintliga listor och
    4. säkra att samtliga personer i våra databaser lämnat samtycke

Registerutdrag

Etablera en skriftlig process för när någon begär ett registerutdrag.
Om möjligt, automatisera detta på webbplatsen.

Glöm användare

Etablera en skriftlig process för när någon begär att bli borttagen eller
vill ändra sin information. Om möjligt, automatisera detta på webbplatsen.

Portabilitet

Implementera dataportabilitet.
Om möjligt, automatisera detta på webbplatsen

Profilering

Se över eventuella processer som hanterar persondata som
spårar beteende i marknadsföringssyfte.

Dataläckor: Etablera en skriftlig process för dataläckor.

Leverantörer: Vi måste försäkra oss om att alla våra leverantörer som hanterar persondata
gör så på ett korrekt vis/sätt.

Personbiträde: Teckna personuppgiftsbiträdesavtal med samtliga leverantörer
som hanterar persondata (mall finns här).

 

Om Bjornen

Jag är en hobbyförfattare & WP-nörd som försöker tömma hjärncellerna på kreativitet. När jag inte skriver så utökar jag mina WP-kunskaper genom att blogga och hänga på diverse sociala medier. Jag gör mitt bästa och min passion för WordPress enbart växer.

Kommentera


OBS: Alla kommentarer granskas innan dom blir publicerade. Ha en go dag!