Kontakta oss

Är du redo för GDPR? Så här klarar du de nya reglerna

Företag har alltid varit skyldiga att skydda kund- och personaluppgifter, den 25 maj 2018 ersätter den nya dataskyddsförordningen General Data Protection Regulation (GDPR) EU:s direktiv för datasäkerhet från 1995. Vissa juridiska ansvarsförhållanden påverkas, och nedan går vi igenom det du behöver veta.

Vad är GDPR?

Syftet med EU:s nya dataskyddsförordning GDPR är att skydda personuppgifter och hålla regelverket uppdaterat så att det inkluderar aktuella och hittills oförutsedda sätt att samla in, lagra och använda data.

Mängden data som företag lagrar idag är ofantligt mycket större än 1995. Sökmotorer som Google, sociala nätverk som Facebook och digitala marknadsföringsverktyg som Salesforce existerade inte 1995. De stora datamängder som dessa tekniker genererar har inte varit reglerade på ett tillfredsställande sätt enligt befintliga regelverk, vilket är anledningen till att GDPR har skapats för att fastställa relevanta regelverk för den moderna digitala världen.

Bearbetning av personuppgifter är GDPR:s huvudsakliga syfte. Nästan allt som kan göras med personuppgifter kan klassificeras som ”bearbetning”, exempelvis om du ber om en kunds e-postadress, lagrar e-postadresser i en databas eller skriver ut en lista med kundnamn. Även nätidentifierare såsom en IP-adress betraktas nu som personuppgifter.

Enligt GDPR kan du som privatperson begära en kopia av alla uppgifter som ett företag har lagrat om dig, och inga data kan enligt lagen bearbetas utan ditt medgivande. Syftet är att värna om dina rättigheter i egenskap av ”datasubjekt” och ge dig större inflytande över företags hantering av dina personuppgifter.

GDPR gör det möjligt att utmäta högre straffavgifter vid brott mot bestämmelserna. Om bestämmelserna inte efterlevs kan påföljden bli böter på 20 miljoner euro eller 4 % av företagets årsomsättning; ett reellt incitament för företag att ta dataskydd på allvar.

Den nya bestämmelsen innebär att personuppgiftslagen blir identisk i hela EU vilket leder till ett enklare system, speciellt för multinationella företag.

Vad GDPR innebär för små och medelstora företag

Små och medelstora företag måste efterleva bestämmelserna till fullo, på samma sätt som med ratifierade lokala versioner av EU:s direktiv för datasäkerhet.

Enligt dataskyddsförordningen måste organisationen ha en effektiv, dokumenterad, spårbar process för insamling, lagring och förstöring av personuppgifter. Kort sagt måste du veta var alla dina data är och att de är säkra.

GDPR fokuserar huvudsakligen på onlinedata, men bestämmelserna gäller även fysiskt lagrade data. Detta innebär att företag måste vara aktsamma om information som skrivs ut, kopieras, scannas och lagras i pappersform. Ett förståndigt sätt att hantera detta är att vara försiktigt med all information som bearbetas i kontorets skrivare och multifunktionssystem.

Innan du börjar förändra några rutiner är det klokt att studera ditt företags efterlevnad av EU:s befintliga direktiv för datasäkerhet, och därefter undersöka vilka ytterligare åtgärder som krävs för att efterleva GDPR.

Utse ansvarig för dataskyddsfrågor

Ni bör bestämma var i er organisation ansvaret ska ligga. Om det krävs enligt dataskyddsförordningen måste ett dataskyddsombud formellt utses.

Enligt dataskyddsförordningen, och all lagstiftning avseende skydd av personuppgifter, finns viktiga skillnader mellan olika personers eller företags ansvarsområden, beroende på hur data hanteras.

Dataskyddsombud är en person eller ett företag som beslutar om bearbetningsaktiviteter, dvs den fysiska eller juridiska person i organisationen som ensam eller i samverkan med annan part bestämmer syfte och metod för bearbetning av personuppgifter.

Utskrift, scanning, kopiering, arbetsflöden och dokumenthantering är kanske inte det första man tänker på när det gäller den nya dataskyddsförordningen, men dessa aktiviteter utgör en “bearbetning” och är därför underställda dataskyddsförordningen på samma sätt som andra typer av bearbetning.

Säkerhet och GDPR

Alla företag som registrerar personuppgifter, såväl personuppgiftsansvarig som personuppgiftsbiträde, måste vidta tillämpliga säkerhetsåtgärder. Bortsett från den allmänna dataskyddsförordningen är det nödvändigt att du har adekvata rutiner för säkerhet och säkerhetskopiering på plats som skydd mot onlineattacker och intrång, som utgör en allt större risk för alla företag.

Pappersdokument, till exempel en utskrift som är kvarlämnad i skrivarens utmatningsfack, kan betraktas som brott mot personuppgiftslagen, liksom osäkra återvinningslådor. Det kan finnas digitala kopior av information som du kanske inte tänker på; ett nätverksanslutet multifunktionssystem kan utgöra en sådan risk.

Skrivare kan utgöra ett mål för inkräktare som vill stjäla dokument, eller använda en nätverksansluten skrivare som plattform för intrång i andra system.

Ett multifunktionssystem är i sig självt vanligtvis en fullfjädrad nätverksdator med ett operativsystem (Unix, Linux, Microsoft Windows etc) och standardfunktioner för nätverkskommunikation. Det är inte alla nätverksadministratörer som tänker på detta – men det gör alla inkräktare.

Liksom alla anslutna enheter och tillhörande infrastruktur utgör multifunktionssystem och skrivare en potentiell ”ingång” för inkräktare. Därför måste dessa säkerhetsbrister tas på fullaste allvar vid planering och analys som ska säkerställa efterlevnad av den allmänna dataskyddsförordningen.

Hur Sharps lösningar kan underlätta för införandet av GDPR 

Sharp kan erbjuda flera olika säkerhetslösningar. Från säkerhetsfunktioner inbyggda i Sharps multifunktionssystem till hanteringslösningar för säkra utskrifter, en molnbaserad tjänst för lagring och delning av filer, och hanterade IT-tjänster inklusive datorskydd och skyddad säkerhetskopiering. Oavsett hur stor din verksamhet är, så kan vi hjälpa dig att hålla informationen skyddad.

Mer information, inklusive Sharps säkerhetsriktlinjer, finns på webbsidan ”Skydda din information

Kontakta oss

HERMAN LUNDQUIST
Nordic Marketing Director
herman.lundquist@sharp.eu

Social