Den 25:e maj 2018 börjar den nya EU-förordningen för datasäkerhet – GDPR, att gälla. Därför vill vi på gymnasium.se dela med oss av vår syn på GDPR. Hur kommer ni som kunder att påverkas? Vi ger er våra 6 bästa råd för att ni ska vara förenliga med GDPR.
Varför GDPR är en positiv utveckling
Vi på gymnasium.se ser GDPR som en positiv och viktig utveckling av personuppgiftslagen (PUL). Den nya dataskyddsförordningen fokuserar på användaren och avser att skydda varje individs personuppgifter samt att de företag som behandlar personuppgifter ska värdera dessa mycket högre.
GDPR ställer krav på företag att vara transparanta, hederliga och att i enlighet med förordningen inte missbruka den insamlade informationen på något vis. Alla bolag vars verksamhet kretsar kring personlig information och personuppgifter kommer att påverkas. Det kommer att krävas att all information vi samlar och behandlar måste vara väldokumenterad, skyddad och uppdaterad. Vi kommer att förbättra vår databas för att säkerställa att den hålls uppdaterad samtidigt som vi fortsätter att utveckla och förfina våra hanteringsprocesser.
Detta kommer att betyda att tjänsterna vi tillhandahåller våra kunder blir granskade kontinuerligt och informationen som samlas genom tjänsterna kommer att ha högre kvalitet än någonsin tidigare. gymnasium.se och vår koncern (EMG) vill säkerställa att alla våra kunder är medvetna om att datan som kommer genom våra tjänster är kompatibel med GDPR och därmed säker att använda.
Vad betyder detta för dig som kund?
Som kund till EMG har du kanske redan sett några små förändringar sedan januari 2018 relaterat till GDPR. Den enda förändringen som direkt påverkar dig som kund är att vi lägger till ett personuppgiftsbiträdesavtal i våra kundavtal. Detta för att säkerställa att all information/data som genereras via våra kanaler inte används på något sätt som går emot den nya dataförordningen.
Den andra förändringen, som du troligtvis inte märker om du inte interagerar med våra sajter, är en uppdatering i våra användarvillkor. De nya användarvillkoren kommer att vara lättlästa, enkla att förstå och påvisa syftet med vår hantering av personuppgifterna; vem som kommer att hantera informationen och varför vi behöver göra det för att användaren ska kunna använda våra tjänster. Allt detta handlar om att vara transparent mot våra användare, att de känner sig trygga med att vi hanterar deras personuppgifter.
Vad behöver du göra för att vara förenlig med GDPR?
GDPR kommer att påverka varje organisation olika och vad ni behöver göra för att bli kompatibla beror på hur era processer och policys kring säkerhet och datahantering ser ut idag. Det är dock några saker som alla kommer att behöva se över innan den 25:e maj 2018. För att förenkla detta har vi gjort en kort checklista med våra bästa tips;
1. Förstå och identifiera er data
Att veta vad ni samlar in, var ni samlar informationen och vilken typ av data det är ni samlar in, är några av de viktigare delarna av GDPR.
2. Ställ frågan "Varför?"
Fråga er själva ”varför behöver vi den här informationen?”. Om ni samlar in information/data som ni endast lagrar och inte behandlar på något annat sätt borde ni fråga er själva om ni verkligen bör samla in den överhuvudtaget. Att samla och lagra data bara för sakens skull har aldrig varit rätt väg att gå och kommer inte vara accepterat från och med den 25:e maj 2018.
3. Dokumentera allt
Det är väldigt viktigt att ha era papper i ordning om ni skulle bli inspekterade och behöver visa att ni är förenliga med GDPR.
Se till att er integritetspolicy är uppdaterad. Den ska bland annat ange hur länge ni lagrar data, ert syfte med att lagra data, vilka som har tillgång till lagrad data, policy för överföring av data, en översikt av rättigheter att begära ut, dra tillbaka godkännande samt lämna in klagomål. Se till att informationen finns på en tillgänglig plats på er webbplats.
4. Utbilda er organisation
Se till att alla i er organisation känner till GDPR och hur lagen påverkar deras dagliga arbete. Ni kan minimera risken att informationen hanteras och används fel genom internutbildning och genom att skapa förståelse för GDPR.
Se till att ni har en formell process för hur ni hanterar önskemål om borttagning av data och säkerställ att alla i er organisation känner till vems ansvar det är att radera data.
5. Skydda era tillgångar
Personuppgifter och personlig information är värdefull, inte bara för er utan för många andra. Säkerställ att ni har ett aktuellt dataskydd och att alla i er organisation vet hur de ska hantera personuppgifter för att undvika och förebygga dataintrång.
6. Granska och korrigera
Många missuppfattar GDPR, och ser det som ett race med en deadline den 25:e maj 2018. Så är inte fallet. De nya reglerna kräver att vi fortsättningsvis granskar och korrigerar vår säkerhet och våra processer kring datahanering regelbundet. Detta för att kunna visa förenlig dokumentation vid en eventuell inspektion.
Faktaruta - GDPR
Vad? General data protection regulation, en ny EU-förordning gällande skydd av personuppgifter.
När? Gäller från och med den 25:e maj 2018.
Var? Förordningen gäller i alla EU:s medlemsländer.
Hur? Datainspektionen är tillsynsmyndighet och övervakar att förordningen efterlevs i Sverige. Det kommer också finnas en central dataskyddstyrelse i EU som tar fram riktlinjer och fattar beslut om tolkningar.
Varför? För att förbättra personlig integritet online.