GDPR-förordningen närmar sig. Den 25 maj träder lagen i kraft och det kommer i grunden att förändra för företag hur man hanterar data; vad man samlar in, vad man får samla in och hur man lagrar det man samlat in. Man blir skyldig att radera en individs all lagrade data om personen så önskar. GDPR innebär att det är individen som äger rätten till sin data. I grunden är det en bra tanke. Det är också bra att vi generellt ser över hur vi hanterar information. Att vi säkerställer ett etiskt förhållningssätt med individers rätt till integritet samtidigt som vårt arbete ska kunna vara så affärsmässigt korrekt och effektivt som möjligt.
GDPR – General Data Protection Regulation
GDPR är en vidareutveckling på Dataskyddsdirektivet från 1995 och är ett regelverk för att underlätta mellan alla EU-länder. I Sverige hamnar huvudansvaret hos Datainspektionen.
På AIMS International Sweden använder vi ett affärssystem som heter Invenias. Bolaget bakom Invenias ligger långt framme vad gäller GDPR och har redan nu tagit fram en modul som gör att vi som kunder enkelt kan hantera vårt dagliga arbete när lagen träder i kraft.
I AIMS International globalt sett är GDPR något som i god tid finns på dagordningen för hur vi framöver ska hantera information.
Vår ambition är att vi inom en månad till stora delar ska följa regelverket GDPR. Det ger oss tid att finjustera och säkerställa att vi är helt GDPR-kompatibla den 25e maj.
En rad förberedelser krävs dock och så här har vi planerat vårt interna arbete:
Kartlägga dataflödet
Genom att göra en revision säkerställer vi:
- Vilka data som har samlats in
- Var datan lagras
- Vem som använder informationen
- Varför data samlas in och dess syfte
- När tillstånd beviljades
- Var tillstånd beviljades
Var data lagras kan ju verka enkelt vid en första anblick men blir mer komplext när man tittar närmre på det. Till exempel hur molntjänster är konstruerade eller var de i sin tur fysiskt har placerat sina serverhallar.
Se över och skapa en integritetspolicy
Att tillhandahålla sekretessinformation är redan ett krav enligt DPA, men GDPR tar det ett steg längre. Tonvikten ligger på att göra all information om sekretess förståelig, öppen och tillgänglig. Bästa praxis är att med varje insamlad data förklara varför den samlas in och hur den ska användas och att även kontinuerligt informera om hur data lagras och används. Allt för att göra det så enkelt och tydligt för individen som möjligt.
Tillsätta en DPO (Data Protection Officer)
Att ha en kunnig person eller ett team av personer som enbart fokuserar på dataskydd är inte en förutsättning för GDPR, men det kommer underlätta för att förstå och systematisera all datahantering. Både tekniskt och praktiskt.
En viktig uppgift för DPO:n blir att vara kontaktperson för de som vill ha information kring deras lagrade personuppgifter hos oss. DPO:n ansvarar också för löpande uppdatering och utveckling av dessa frågor samt att informera berörda parter.
Utbilda alla internt
Varje person i vår organisation ska förstå betydelsen av GDPR och hur vi ska hantera data.
Kommunicera externt
Förutom att alla internt förstår den nya datastrategin är det viktigt att kommunicera den utåt. Vi väljer att redan nu dela med oss av hur vi arbetar för att implementera GDPR i vår organisation. Vår ambition är att processen ska vara tydligt och transparent för dig vare sig du är uppdragsgivare eller kandidat. Att arbeta i enlighet med GDPR är en självklarhet och vi välkomnar möjligheten att slipa våra arbetssätt ytterligare för att ge dig en förstklassig upplevelse när du samverkar med oss.
Hur går dina tankar kring GDPR? Kommentera gärna!