GDPR – snart fyra månader senare

GDPR – snart fyra månader senare

Den 25 maj trädde GDPR i kraft, vilket nästan ingen kunde missa. Företag rensade i kundregister och information sorterades upp för att anpassas till den nya förordningen. Men vad händer nu och hur ser det ut idag? Bara för att GDPR är implementerat kan vi inte luta oss tillbaka och tro att jobbet är över. Det är nu det börjar på riktigt, arbetet med att hantera personuppgifter korrekt.

Med den nya förordningen behöver vi hålla listor uppdaterade med korrekt information och rensa felaktiga så att de personuppgifter som lagras är tillåtna. Det viktigaste med GDPR är att vi ska veta vilken information vi lagrar, varför och hur. Personuppgifter lagras kontinuerligt och vi behöver hela tiden se till att vi lagrar dem korrekt och inte har inaktuella uppgifter i våra register. Den nya förordningen, GDPR är en process som hela tiden behöver arbetas med.

Syftet med GDPR

Låt oss fräscha upp vårt minne och förtydliga syftet med GDPR. Grundtanken med GDPR är att den ska hjälpa oss att få in dataskydd i vardagen. På det sättet som du inte skulle ta någon annans bilnycklar utan att fråga ska vi inte heller ta någons personuppgifter. Personuppgifter är något som behöver hanteras, lagras och användas på rätt sätt inom en organisation. Det är viktigt att alla inom organisationen som hanterar personuppgifter förstår syftet med GDPR och hanterar personuppgifter korrekt. Det handlar inte enbart om att checka av listor, rensa register någon gång per år eller utse någon som är ansvarig.

GDPR är något som ska hjälpa oss. Enligt Datainspektionen är syftet med GDPR att skapa en enhetlig och likvärd nivå för skyddet av personuppgifter inom EU. Det här glömmer vi bort ibland och ser enbart till GDPR och dess problem och inte dess fördelar. GDPR infördes för att skydda personuppgifter och personer för att inte få sin information spridd vilket är viktigt att inte glömma.

För att fräscha upp minnet ännu mer kan du läsa mer här.

Vad händer nu?

I juni kom första rapporten om att Datainspektionen inledde sin första granskning enligt GDPR. Datainspektionen började med att undersöka om företag och myndigheter hade utsett ett dataskyddsombud, vilket är en skyldighet att utse enligt GDPR. Efter detta har inte någon mer information kring granskningar publicerats. Vi väntade nog alla på första granskningen och vad som skulle hända näst. De mesta vi läser om på olika sidor gäller om implementeringen och datum att förhålla sig till, men sen då?

Idag finns det inte så mycket mer information att ta del av på Datainspektionens hemsida och likande om just vad som hände sen och vad som händer nu. Vad som ändå är viktigt att tänka på är att GDPR är en förordning som ska arbetas efter kontinuerligt. Om ni känner att ni fortfarande inte har koll på allt så är det ingen panik. Börja med att se över vilka listor och information som ni rensade i maj, vilka är återkommande och vilka kommer ni behöva göra igen? Skriv sedan ner vilka listor ni behöver rensa och skapa processer så att det inte missas i framtiden. Ha även koll på vad som händer med GDPR och ha koll på ämnet på Datainspektionens hemsida.

Vi har även tagit fram en workshop som vi gjorde i samband med GDPR. Om det fortfarande känns lite osäkert med GDPR så kan du läsa mer om vår workshop här för att få de sista pusselbitarna på plats.

Vem har koll på GDPR och företagsmobilerna?

Vem har koll på GDPR och företagsmobilerna?

I och med GDPR så har de flesta företag fått tänka till. Tighta sina policys för att skydda personuppgifter i sina interna system och i sin IT-miljö. Fokus har förmodligen legat på datorer, system, hårddiskar och servrar och därför inte på telefoner eller andra mobila enheter, därav kan frågan om företagsmobilerna ha hamnat i skymundan.

För ett par år sedan diskuterades problemet att medarbetarna skulle ta med sina egna mobila enheter till jobbet för att koppla upp mot företagets nätverk. Frågan alla IT-avdelningar då våndades för var hur de skulle kontrollera användningen på företagets nätverk? Men det blev snarare tvärtom. Många arbetsgivare har varit frikostiga med att ge sina anställda mobila enheter som de kan bruka fritt. Det rimmar med hela Modern Workplace-konceptet. Att kunna arbeta från olika platser och komma åt alla sina arbetsverktyg när du är på resa eller jobbar hemifrån. Frågan är om det gör att gränsen mellan ditt privata och arbetsrelaterade användande suddas ut? Och spelar det någon roll? Ja, det kan det göra.

Balansgången mellan det privata och arbetsrelaterade

Det gäller att komma ihåg att enheten du använder egentligen inte är din. I många fall ställer företaget inga krav på säkerhetsinställningar eller hantering av data i mobilerna och det kan bli ett problem nu med GDPR. Det här blir en balansgång mellan att styra upp de säkerhetskrav som finns samtidigt som arbetsgivaren inte ska inskränka på medarbetarens integritet eller produktivitet.

Utmaningen med mobila enheter är att skilja på de privata applikationer som personen oftast har och det arbetsredskap som mobilen är. Det har poppat upp en del lösningar på marknaden men hur mycket ska du som företag gå in och styra? Det kan vi inte svara på, det finns det säkert andra som kan göra. Men vi kan tipsa om ett på enklare åtgärder.

Förslag på enklare åtgärder

Nummer ett är att säkra upp företagsmobilen och andra mobila enheter med lösenord och pinkoder. Det går att lägga olika lösenord på ert SIM-kort och på er låsta skärm för ännu bättre skydd. Kom ihåg att vara noggrann när en anställd slutar, blås informationen i mobilen så att det inte ligger kvar privat eller arbetsrelaterad information. Är det en företagsmobil ligger det förmodligen information om kunder i form av kontaktlistor, sms, egna noteringar och annat. Det finns säkert också privata bilder, minnesanteckningar och annat som tagits i privata sammanhang. Det är inte ovanligt att det finns mycket som inte är menat för någon annan att ta del av, så ha som rutin att rensa telefonen när medarbetaren slutar.

Skriv in ett avsnitt i IT-Policyn kring era riktlinjer för hur det arbetsrelaterade användandet ska fungera och fundera över åtgärder och konsekvenser om något skulle hända. Det är viktigt att ha en checklista med åtgärder över vad ni gör exempelvis om mobilen skulle tappas bort eller bli stulen.

Läs också:
GDPR ersätter PuL – Vad är skillnaden?
GDPR – Är ni redo för den nya dataskyddsförordningen?