Personuppgifter har gått från att vara likställt med flummig lagstiftning utan sanktioner till att bli synonymt med ett komplext regelverk och skyhöga böter. Den nya dataskyddsförordningen från EU (General Data Protection Regulation), som ersätter tidigare svenska regler, kommer minst sagt bli en "game changer" för hur man ser på uppgifter som kan identifiera en fysisk person, (personuppgifter).
Men för den som är snabb på bollen och anpassar sig i god tid kan de nya reglerna innebära en fördel i förhållande till konkurrenter som ligger på latsidan.
Åtgärderna som bör vidtas i anledning av den nya dataskyddsförordningen är många. Vi kommer i denna krönika att lägga datakyddsförordningens regler om dataintrång under lupp och förklara vad ditt företag bör tänka på för att leva upp till dataskyddsförordningens krav. Att just dataintrång adresseras specifikt i dataskyddsförordningen är något av en lågoddsare.
Bara förra månaden utsattes cirka 200 000 företag, myndigheter, sjukhus och andra organisationer i cirka 150 länder för ett organiserat dataintrång. Med de ökade dataintrången ökar även risken för olovlig spridning av personuppgifter, vilket är något dataskyddsförordningen försöker råda bot på genom säkerhetskrav vid hantering av personuppgifter.
Dataskyddsförordningen ställer krav på att den som hanterar personuppgifter ska anmäla ett dataintrång som rör personuppgifter, en så kallad personuppgiftsincident, till Datainspektionen inom 72 timmar efter att man blivit medveten om intrånget.
Anmälan till Datainspektionen syftar till att ge myndigheten en överblick över den inträffade incidenten så att de vid behov ska kunna vidta nödvändiga åtgärder. Anmälan ska innehålla följande uppgifter:
- Vilken typ av incident som ni utsatts för.
- Vilka personer som kan beröras av incidenten och hur många dessa är.
- Incidentens konsekvenser.
- Vilka åtgärder som vidtagits.
Skapa rutiner och säkerställ IT-säkerheten
Om ert företag råkar ut för en personuppgiftsincident så måste ni ha tydliga och effektiva rutiner för att kunna uppfylla kravet på anmälan av incidenten.
Till att börja med bör en person eller en grupp i ert företag utses som ansvarig för personuppgiftshantering och därmed även ansvarig för att anmäla personuppgiftsincidenter.
Vidare är det av stor vikt att ha välfungerande säkerhetslösningar för att undvika incidenter. Detta kan ni till exempel uppnå genom att säkerställa att ert IT-system innehåller funktioner som uppmärksammar incidenter snabbt och ger en god överblick över sådan information som ni måste lämna till Datainspektionen för att hinna göra anmälan i tid.
Ett förslag är att ta kontakt med er IT-leverantör för att säkerställa hur ni på bästa sätt kan få tillgång till den information som krävs för att göra en anmälan.
För att skydda sig mot dataintrång är det viktigt att upprätthålla en tillfredsställande IT-säkerhet. Gör en inventering av era brandväggar och virusskydd, uppdatera dessa om det är nödvändigt. Se även över hur era datorer, skrivare och annan elektronik är synkroniserade och säkerställ att det finns väggar mellan dessa så att ett virus eller liknande inte riskerar att sprida sig internt.
Interna rutiner för informationshantering, så som vem som har tillgång till vilken information, är kanske viktigare ur ett företagshemlighetsperspektiv än ett personuppgiftsperspektiv, men en brist i sådana rutiner skulle innebära en felaktig personuppgiftshantering.
Sist men inte minst vid personuppgiftsincidenter, tveka inte över att rådfråga Datainspektionen, de kan hjälpa er att avgöra om enskilda personer bör informeras och om en polisanmälan bör upprättas.
Att inte upprätta rutiner för att hantera personuppgiftsincidenter kan stå ert bolag dyrt.
Sanktionsavgifterna för brott mot dataskyddsförordningen uppgår till maximalt 20 miljoner euro eller fyra (4) procent av ert företags globala omsättning. Även om det inte är troligt att ett mindre företag som hanterar personuppgifter i mindre omfattning kommer bli skyldigt att betala maxbeloppen kommer det sannolikt röra sig om kännbara bötesbelopp, vilket gör det extra viktigt att ni så snart som möjligt tar ett samlat grepp om ert företags personuppgiftshantering.
Sammantaget innebär dataskyddsförordningen en skärpning av hantering av personuppgifter och det finns större incitament nu än någonsin att se över era rutiner för personuppgiftshantering. Ett naturligt första steg är att upprätta skriftliga rutiner för hur ni ska förebygga, upptäcka och agera vid personuppgiftsincidenter.
Trots att det kan kännas motigt att avsätta tid och pengar för att säkerställa sitt företags regelefterlevnad inför dataskyddsförordningen införande är vår bedömning att det kommer att löna sig i det långa loppet. Även om sanktionerna förvisso kan ge vem som helst en årsskörd av ångest, så bör ni fokusera på vinningarna av att kunna stoltsera med att vara ett företag som lever upp till dataskyddsförordningens krav.
I en värld full av såväl dataintrång som komplex lagstiftning med höga sanktionsavgifter är regelefterlevnad av dataskyddsförordningen en merit som kan få ert företag att dra det längre strået i förhållande till i övrigt jämbördiga konkurrenter.
Det här är en sponsrad artikel från Jansson & Norin – en juristbyrå som har specialiserat sig på affärsjuridik och startups. Vill du veta mer om byrån så kan du klicka dig vidare in på deras sajt här.
Sponsrade inlägg är en del av Breakits annonserbjudande. Inläggen skrivs inte av Breakits redaktion utan av kommersiella samarbetspartners. Om du har frågor kring sponsrade inlägg, hör av dig till sales@breakit.se.