Data som sparas om kunder, anställda och leverantörer är affärskritiskt för många bolag. Rätt hanterat kan data ge ett bättre erbjudande och mer relevant information, men hamnar uppgifterna i orätta händer kan det få förödande konsekvenser för enskilda individer. Därför inför EU en gemensam förordning.

– Dataskyddsförordningen innebär att det ska vara enkelt för anställda och konsumenter att förstå hur och varför personuppgifter sparas, så till stor del handlar detta om att förtydliga informationen. Men den stora insatsen ligger i att anpassa IT-systemen. Som företag måste du ha koll på vilka uppgifter som sparas, hur länge de sparas och möjliggöra att helt ta bort eller flytta uppgifterna till en annan aktör, säger Peter Lind, expert inom dataskydd på KPMG.

Ett exempel på hur finmaskig hanteringen av uppgifter kommer vara är att företag behöver flera olika varianter av medgivande från kunden beroende på vad datan ska användas till. Detta ställer mycket höga krav på strategi och processer gällande IT-system i framtiden. En ytterligare kännbar förändring är de nya krav som införs för incidentrapportering.

– Incidentrapportering betyder att företag som är utsatta för intrång kommer ha krav på sig att rapportera om incidenter till Datainspektionen. Beroende på omfattning och känsligheten i uppgifterna ska även enskilda personer som drabbats också informeras, vilket naturligtvis ställer krav på processer och återigen IT-systemen, förklarar Peter.

Den nya dataskyddsförordningen GDPR träder i kraft den 25 maj 2018. Att ha ett gemensamt regelverk inom EU ger fördelar för både konsumenter och för företag som är verksamma i flera länder. Däremot går det inte att göra landspecifika anpassningar i regelverket eftersom det är en förordning. Senast inom två år ska företagen implementerat förändringarna som den nya förordningen kräver. Förordningen kommer kontrolleras av Datainspektionen och brister kan ge skadestånd med upp till 4 procent av omsättningen.

1. Utse en Data Privacy Officer (vilket är ett krav i förordningen) som ansvarar för frågorna och har en kontinuerlig dialog med ledningen. Organisera arbetet med hantering av personuppgifter i redan befintliga processer.

2. Identifiera var och hur din organisation hanterar data om kunder, anställda och leverantörer och säkerställ att berörda personer inom företaget har vetskap om och får utbildning i vad som gäller.

3. Se till att hantering av personuppgifter ingår i IT-strategin. Implementera nödvändiga förändringar i nuvarande system och etablera ”Privacy by design” i processerna för utveckling och förändring.

4. Sätt upp processer och rutiner för ”medgivande”. Förordningen kräver att kunder och användare enkelt ska förstå hur personuppgifterna används och hur länge de sparas. Det kommer behövas olika medgivanden beroende på hur data ska användas. Det ska också framgå hur man drar tillbaka ett medgivande och begär ut information.

5. Implementera rutiner för hur incidentrapportering gällande personuppgifter ska gå till. Definiera hur incidenter ska rapporteras baserat på dess känslighet och omfattning.