Den nya dataskyddsförordningen kan bli omvälvande för bolag som inte följer utvecklingen. Dataskyddsfördningen kommer i stort sett att ersätta den existerande personuppgiftslagen (PUL) som idag är till för att skydda människors integritet.
Vilka konkreta ändringar det nya regelverket medför har vi gått igenom här. Enligt juristerna Sofia Bruno, dataskyddsexpert på Kivra, och Caroline Olstedt Carlström, internationell dataskyddschef på Klarna, kommer just personuppgiftshantering att bli en allt viktigare fråga framåt.
Här är deras tips på hur startups ska hantera övergången:
-
Ägarskap: Utse någon som uttryckligen äger och driver dataskyddsfrågorna internt för att säkerställa att de inte tappas bort. För vissa bolag kommer det till och med bli obligariskt att utse en dataskyddschef eller uppgiftsskyddsombud.
-
Ta nuvarande regelverk på allvar: De bolag som redan idag har förstått vikten av dataskyddet och implementerat tillräckliga processer har ett stort försprång.
-
Se över affärsmodellen: Ansvaret gäller även för personuppgiftsbiträden, eller registerförare. Skapar man en företagstjänst, och klassas som underleverantör, får man nu ändå ett direkt ansvar för regelefterlevnaden enligt den nya lagstiftningen. Det gäller även om det är någon annan registeransvarigs data man behandlar.
-
Vänta inte: Inbyggda integritetshänsyn blir ett krav oavsett när, var och hur man behandlar uppgifter. Det är betydligt enklare och mindre kostsamt att göra rätt från början i samband med att man utvecklar en tjänst.
-
Se inte dataskyddet enbart som en kostnad: Användarna blir mycket mer medvetna och deras rättigheter förtydligas i förordningen. Säkra system, som redan från början tar höjd för användarnas integritet, skapar ett större värde i systemet och därmed för bolaget. Synliggör även användarbehovet redan från början så att det blir en naturlig del av den interna processen och kravställningen i samband med utveckling.
-
Säkerställ att den tekniska plattformen verkligen kan uppfylla alla krav: Det kan till exempel gälla var servrarna ligger och varifrån felsökning sker, incidenthantering, rättelsemöjligheter, sekundär användning av data.
-
Lyft frågan på styrelsenivå: Både styrelsen och bolagsledningen måste hålla sig informerad om vilka behov som finns och vilka åtgärder som görs. Riskbedömningen och ansvaret ligger hos dem.
-
Bygg in dataskyddet i utvecklingsprocessen: Den nya regelverket måste per automatik tas hänsyn till när man utvecklar produkter. Börja med att bygga in regelmässiga konsekvensbedömningar i utvecklingsprocessen.
-
Utbildning: Alla som på något sätt jobbar med personuppgifter internt måste veta vad som gäller när man hanterar det.
-
Minimera insamlandet av personuppgifter: Ta ställning till om du verkligen behöver samla in personuppgifter för att tjänsten ska fungera. Till exempel kanske man inte behöver samla in mejladresser eller be användaren om att lägga till en bild.