GDPR

Vad är GDPR?

GDPR kallas också för dataskyddsförordningen. GDPR är en förordning som tagits fram av EU. Dataskyddsförordningen kommer i Sverige att ersätta Personuppgiftslagen (PUL) den 25/5 2018.

  • Rätten att bli raderad handlar om att privatpersoner kan kräva att raderas fullständigt från ett bolags databas om det inte föreligger särskilda bestämmelser som hindrar detta. Undantagen gäller till exempel brottsregister och patientjournaler.
  • Med data portability, eller dataflyttbarhet som det blir direkt översatt, menas fenomenet att man kan kräva att få ut alla sina personuppgifter från en tjänst i ett allmänt tillgängligt format.

Exakt vad som räknas som ett tillgängligt format är fortfarande högst oklart. För vissa bolag kan dock just dataflyttbarheten bli klurig.

Vad är en personuppgift?

I Sverige är det alla uppgifter som direkt eller indirekt kan kopplas till en specifik person. Det innefattar bland annat namn, bilder, ip-adress, mejladress, personnummer osv.

Varför kommer GDPR istället för PUL?

Förordningens syfte är att stärka skyddet för fysiska personer vid behandling av personuppgifter/register inom EU. Enskilda ska få större kontroll över sina personuppgifter. Förordningen kommer att börja gälla 25 maj 2018. Den ersätter då Dataskyddsdirektivet (95/46/EG) från 1995. Förordningen kommer börja gälla direkt i alla medlemsstater och ersätter då tidigare nationella bestämmelser. Varje enskild medlemsstat har dock rätten att komplettera förordningen med nationella regler i viss omfattning, till exempel gällande hur ett myndighetsbeslut kan överklagas.

Slutbetänkande från Integritetskommitén har kommit. SOU 2017:52

Vad är ett dataskyddsombud?

Förordningen ställer krav på att vissa organisationer utser ett dataskyddsombud. Detta krav gäller till exempel offentliga myndigheter och organisationer vars verksamhet involverar särskilt riskfylld behandling. Ett personuppgiftsombud är en person som ser till att personuppgifter behandlas på ett korrekt och lagligt sätt inom organisationen.

Vad behöver ni som användarorganisation göra generellt?

  • Identifiera var personuppgifter finns och hur dess relaterade flöden ser ut. I mindre organisationer görs detta ofta genom intervjuer och manuell kartläggning.
  • Motivera den lagliga grunden för de personregister ni har eller den information ni sparar/skriver ut/förvarar utöver Safe-Doc (journalföring)
  • Se till att alla anställda vet vad som gäller i er verksamhet, en kedja är aldrig starkare än den svagaste länken.
  • Passa på att lyfta fram integritetsfrågan i er organisation och prioritera de områden som även ger andra vinster.
  • Hur hanteras information i er verksamhet? Det finns flera generella utmaningar om hur information som innehåller personuppgifter ska hanteras. Utöver journalsystem som Safe-Doc kan det i verksamheten finnas behov av översyn av ex. arkivering, backuper som inte styrs av en IT-funktion ex. medarbetare som använder drop-box.
  • Hur hanterar ni personuppgifter i ostrukturerad form?

I PUL finns undantagsregel för en s.k. missbruksregel, den försvinner när GDPR träder i kraft. Missbruksregeln innebär att personuppgifter i ostrukturerat format är

undantagna från dagens personuppgiftslag (PuL). Sverige försökte få med detta undantag i GDPR, men det godkände inte EU, vilket innebär att personuppgifter som hanteras i ostrukturerat format såsom i mail, dokument, Excel filer etc. kommer att omfattas av GDPR.

  • Intrång i personuppgiftsregister ska rapporteras inom 72 timmar till berörda och till datainspektionen. Detta kallas incidentrapportering.

Vad arbetar Safe Care med just nu för att leva upp till kraven i GDPR?

  • Safe Care ingår i arbetsgruppen på Sambi där frågor och lösningar diskuteras. Sambis krav går hand i hand med GDPR.
  • Som tjänsteleverantör ansvarar vi för att
    • Ha ett strukturerat säkerhetsarbete ex. genomföra riskanalyser avseende tjänsten och dess funktioner.
    • Safe-Doc har ett skalskydd som uppnår minst säkerhetsnivå LoA 3. Federerad två faktorsinloggning som ex. SITHS, mobilt bank-id m.fl.
    • Safe Care har en process för incidenthantering.
    • Safe-Docs skalskydd kan identifiera intrångsförsök samt informera användarorganisationen inom 72 tim. om detta skulle inträffa.
    • Personuppgiftsbiträdesavtalen är i enlighet med GDPR kraven

Ansvarsfördelning

Tjänsteleverantör ansvarar för Funktionen E-tjänst: Safe-Doc

Användarorganisation ansvarar för Funktionerna:

  • E-legitimationsutfärdare
  • Attribututgivare
  • Identitetsintygsutgivare
  • Dataskyddsombud
  • Personuppgiftsansvarig

Hur påverkas Safe-Doc av GDPR?

I Safe-Doc blir konsekvensen utifrån GDPR som första steg ett nytt skalskydd som innebär en ny ”entré” till systemet med förstärkt skydd vid:

  • Inloggning
  • hinder för olaga intrångsförsök

I övrigt ingen skillnad inom Safe-Doc i detta första steg (Q1-2018).

Kostnader för nya skalet: tar vi i sig inget betalt eftersom det är ett lagkrav.

Kostnader för kringutrustning för säker inloggning: Ni kan komma att få kostnader beroende på vilken typ av inloggning ni väljer framöver. Kostnader avser exempelvis SITHS kort eller yubekeys om detta skall användas. Dessa inslag är inget vi kommer att administrera utan som kund får ni då ha avtal med ex. Inera eller svensk e-identitet för SITHS kort. Yubekeys kan köpas in av ex. Dustin.   

Kan man avstå och konsekvens: Ingen kan frånsäga sig ansvaret från GDPR i sig, men ni kan välja att avstå inloggning på de nya sätten. 

Avstår ni att använda säker inloggning (likt ovan beskrivna) får ni som kund skriva på personuppgiftsbiträdesavtal, där vi frånskriver oss ansvarsfrågan utifrån PUL/personbiträdesrollen/GDPR.