Dags att sluta spara på allt

Vi försöker att se på GDPR som ett sätt att bli smartare i vår hantering av personuppgifter. Vår första tanke när vi får tillgång till en personuppgift bör alltid vara: Behöver jag spara den här personuppgiften? Om jag inte behöver spara den så är det bara att radera den direkt. Om jag behöver spara uppgiften så ska den lagras på rätt ställe. Det är helt enkelt slut med bra-att-ha-sparandet! Det tankesättet är vår långsiktiga strategi för att förändra oss.

Se datainspektionens korta film om hur länge man får spara personuppgifter tex i kundregister.

I arbetet med GDPR genomför vi en statusinventering av våra system och applikationer. Samma arbete gör vi för interna processer. För er som inte kommit i kontakt med GDPR: Det går ut på att kartlägga på vilket sätt personuppgifter behandlas och hur man tex informerar den som är registrerad, samt hur man hämtar godkännande från den som registreras. Det är också nya regler kring säkerhet och rapportering av incidenter till Datainspektionen. GDPR gäller i EU och för de företag som verkar inom EU. GDPR i stort betraktas som en lagstiftning som kommer att stärka den enskildes rätt. Förordningen innehåller en del nya regler som man som företag måste förhålla sig till. Förordningen träder i kraft den 25 maj 2018 och kommer då att ersätta Personuppgiftslagen.

Statusinventering

Statusinventeringen har till syfte att ge svar på om något, och i så fall vad, som återstår för att Infomaker ska uppfylla kraven enligt GDPR. I Infomakers fall regleras behandlingen av personuppgifter (kommer att regleras när GDPR träder i kraft) som regel i olika affärsmässiga avtal och befintliga lagar, men det kan också vara fråga om så kallade medgivanden för att tex bli ny prenumerant på vårt nyhetsbrev. En stor uppgift nu är således att se över, och vid behov göra anpassningar, för att så kallad laglig grund ska finnas för att behandla personuppgifter.

En sak som vi har uppmärksammat och som vi har fått ett par frågor från våra kunder gäller loggningen i våra webb-baserade lösningar. Den kommer att genera en behandling av personuppgifter då vi hanterar tex access via IP-nummer och i vissa fall loggar användarnamn/namn. Vi hanterar loggning i Cloudwatch logs i AWS i Europa. De här loggarna ligger som regel kvar i tre månader innan de raderas, om inte vi har skäl att lagra dem längre. De här räknar vi som en skälig tid att spara uppgifterna och ändamålet som vi sparar dem för är förstås säkerhetsberättigat.

Om man i exempelvis sina webb- eller applösningar har autentiseringslösningar från tredjepartsleverantör integrerat mot Infomakers lösning som behöver bedömas eller hanteras med tanke på GDPR, kan vi också hjälpa till. Man behöver tänka på om en lämna- medgivandefunktionalitet kan adderas och hur man avser göra med eventuella profileringsfrågor, om man har sådant i sin lösning.

Användarhantering är generellt en fråga som man som kund till Infomaker måste hantera ur GDPR's perspektiv i tex Newspilot, Writern och Everyware, så att det finns bra rutiner för behandlingen.

Statusinventeringen görs hos Infomaker som sagt även på interna processer och i några fall kommer man som kund eventuellt att märka av det.

Biträdesavtal

Vi har också påbörjat arbetet med biträdesavtal som ska skrivas mellan den som är Personuppgiftsansvarig (tex en kund som använder Infomakers applikationer, produkter eller tjänster) och den som är Personuppgiftsbiträde (alltså Infomaker). En generell tolkning är att en it/system-leverantör alltid är Personuppgiftsbiträde till den som använder systemet. I ett biträdesavtal reglerar man bland annat varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, samt den personuppgiftsansvariges skyldigheter och rättigheter. Därtill kommer de kund- och systemspecifika instruktioner som ska gälla. Personuppgifts-underbiträden som anlitas gås också igenom i biträdesavtalet.

Nätintegritet

Vi kommer att börja att använda, och hänvisa till, en informationstext (integritetspolicy) om hur vi behandlar persongifter i enlighet med GDPR. Texten kommer att ligga tillgänglig på vår sajt och den kommer vi att hänvisa till i tex våra interna processer och hjälpsystem, tex slack, mail och JIRA.

Så småningom kommer vi också att lägga ut vårt GDPR Whitepaper, som visar vår nuvarande status i förhållande till GDPR, samt vårt förslag till Personuppgiftsbiträdesavtal här på siten.

Guidning

Om du behöver få en grundläggande snabb genomgång kan du gå igenom bolagsverkets gdpr-guide.