Tio saker du behöver veta om GDPR

GDPR har varit ett stort diskussionsämne inom och utanför företagsvärlden sedan förordningen godkändes i EU-parlamentet i april 2016. Med tanke på att berörda parter ivrigt vill ha vägledning och inblick i hur företag tar itu med den här bestämmelsen, vill ingen erkänna att de kanske inte har alla svar.

Eftersom tidsfristen för att leva upp till kraven i förordningen snart går ut (den 25 maj 2018), kan företag på längre sikt undvika huvudvärk – och höga böter – om rätt frågor ställs nu.

Mot denna bakgrund har KYOCERA Document Solutions tagit fram följande guide som behandlar de viktiga frågorna som företag bör ställa sig, från den viktigaste informationen om vad GDPR är, till de lätt förbisedda konsekvenserna av förordningen när det gäller skrivarsäkerhet och datahantering.

1. Vad är GDPR?
GDPR står för den allmänna dataskyddsförordningen och är den nya EU-förordningen som ersätter dataskyddsdirektivet (DPD) och personuppgiftslagen (PUL) från 1998. Förordningen godkändes av EU-parlamentet den 14 april 2016 och omfattar skyddet av personuppgifter och enskilda personers rättigheter. Dess syfte är att göra flödet av personuppgifter lättare mellan de 28 EU-medlemsstaterna.

2. När börjar GDPR att gälla?
GDPR trädde i kraft i april 2016, men med tanke på de viktiga ändringar vissa företag måste göra för att anpassa verksamheten till förordningen, enades man om en övergångsperiod på två år.

GDPR kommer att kunna verkställas i hela Europa från och med den 25 maj 2018.

3. Vem berörs av GDPR?
GDPR gäller för alla företag som behandlar och innehar personuppgifter om personer som uppehåller sig inom EU. Detta innebär att GDPR även kommer att tillämpas på företag utanför Europa – överallt där uppgifterna eventuellt lagras och/eller behandlas.

GDPR är dessutom en förordning snarare än ett direktiv. Detta innebär att samma förordning har antagits och kan tillämpas överallt i alla de 28 EU-medlemsstaterna. Det innebär också att det inte finns några lokala kopior eller tolkningar av förordningen i de olika EU-länderna.

I förordningen fastställs att det finns två olika roller, personuppgiftsansvariga och registerförare. Båda dessa har lika stort ansvar och måste visa att de lever upp till kraven i GDPR genom att använda sig av en detaljerad behandling av register.

En personuppgiftsansvarig kan definieras som den fysiska eller juridiska personen som styr och är ansvarig för registren och för användningen av personliga uppgifter. En registerförare är å andra sidan den person, offentliga myndighet, instans eller annat organ som behandlar personuppgifter för den personuppgiftsansvarige.

4. Vad räknas som personuppgifter?
Personuppgifter kan definieras som information som avser en person eller "uppgifter om en person" som kan användas direkt eller indirekt för att identifiera personen. Det kan röra sig om ett namn, ett foto, en e-postadress, bankuppgifter, inlägg i sociala medier eller medicinsk information.

Till och med information som du inte skulle betrakta som "personuppgifter", såsom IP-adresser för datorer och ID:n för mobila enheter, lyder under samma lag och måste därför skyddas.

Genetiska och biometriska uppgifter såsom fingeravtryck behandlas också som känsliga personuppgifter och omfattas av GDPR.

5. Vilka är påföljderna om man underlåter att uppfylla förordningen?
Högsta böter för som kan åläggas för den mest allvarliga överträdelsen är 20 miljoner euro eller 4 procent av den årliga, globala omsättningen – beroende på vilket belopp som är högst – för alla brott som gäller hanteringen av personuppgifter och är en följd av att dataskyddsförordningen inte har uppfyllts. För att sätta detta i ett sammanhang kan nämnas att de högsta nuvarande böterna som de brittiska informationskommissionärerna ålägger är 500 000 pund, vilket innebär att vitet är betydligt större med den nya förordningen.

Alla böter uppgår dock inte till så här stora belopp. Det finns en stegvis metod för bötfällning som är beroende av brottets svårighetsgrad. Riskerna för att bötfällas minskar, om företaget kan bevisa att ett "säkert brott" har begåtts.

Slutligen är det mycket viktigt att företagen förstår att böterna för ett personuppgiftsbrott enligt GDPR kan bli enorma. Om förordningen inte följs, skulle det dessutom kunna leda till allvarliga ekonomiska svårigheter.

6. Behöver jag utse ett personuppgiftsombud (DPO)?
Alla företag måste inte utse en DPO. Det är endast obligatoriskt för företag eller offentliga myndigheter som hanterar systematisk övervakning av personer och behandling av känsliga uppgifter i "stor skala".

Oavsett om man enligt GDPR är skyldig att utse en DPO eller inte, rekommenderas det att någon i arbetsgruppen tar sig an den här rollen.

För företag där det krävs en DPO är det viktigt att notera att den här personen inte nödvändigtvis måste vara anställd på heltid i företaget. Om så behövs kan denna funktion läggas ut på entreprenad.

Den person som fungerar som DPO måste dock lämna självständiga rapporter, få befogenhet och rapportera direkt till styrelsen utan mellanhänder.

Den person som utses måste vara yrkeskunnig inom dataskydd och ha expertkunskap om dataskyddslagen och tillämpningar för att kunna utföra sina arbetsuppgifter och se till att företaget uppfyller och upprätthåller kraven i GDPR.

7. Vilka tekniska lösningar kan företagen implementera för att bidra till att uppfylla kraven?
Förutom att förstå vad GDPR handlar om och att definiera en metod för att ta itu med denna fråga, kan en del av den lösning som krävs vara att implementera ett dokument- och/eller innehållshanteringssystem.

Kryptering av bland annat datorer, servrar, nätverk och skrivarnas hårddiskar minimerar troligtvis också följderna av ett eventuellt databrott. Sådana verktyg kommer automatiskt att ge fördelar vad beträffar behandlingen av personuppgifter, dvs. identifiering, klassificering, övervakning, uppföljning såväl som borttagningen av tidsskalor för lagring som krävs för att uppfylla tidsplanerna och riktlinjerna för GDPR.

För att kunna uppfylla kraven i GDPR, kan företagen behöva använda sig av en eller flera olika krypteringsmetoder i både lokala miljöer och molnmiljöer, däribland via följande:

  • servrar, inklusive via fil, applikation, databas och fulldiskkryptering för virtuella datorer
  • datorer och perifera hårddiskar, inklusive sådana som finns i skrivare, genom kryptering, lagring, inklusive genom nätverksanknuten lagring och nätverkskryptering för lagringsutrymmen och nätverk, till exempel genom snabb nätverkskryptering, t.ex. VPN-tjänster.

8. Kan min skrivare vara en svag punkt när det gäller säkerhet och skydd av uppgifter?
Skrivare och multifunktionsskrivare på dagens kontor har utvecklats mycket sedan de fristående, enkla apparaterna som en gång fanns. De är nu intelligenta, nätverksbaserade resurser som innefattar en skärm, ett tangentbord, en hårddisk (som potentiellt kan lagra känslig information) och ett operativsystem (OS).

Den ökade brottsligheten på internet inriktar sig främst på nätverksbaserade anordningar, däribland skrivare, som utgör svaga länkar i skyddet mot stölder av företagsuppgifter och skadliga attacker. Om skrivarna inte sköts på korrekt sätt har de vissa sårbarheter som kan utnyttjas och göra det möjligt för angripare att bryta sig in i ett företags nätverk.

9. Vad kan jag göra för att åtgärda dessa säkerhetsrisker?
Tack vare många innovativa och inbyggda säkerhetsåtgärder är KYOCERAS multifunktionsskrivare väl utrustade för att hjälpa till att uppfylla GDPR.

Det finns även mängder av säkerhetsverktyg för extra utskrift, skanning och kopiering, vilket bidrar till att man kan skriva ut och sköta dokumenthanteringen på ett säkrare sätt. Biometrisk identifiering och användarautentisering, såsom KYOCERA Net Manager som endast skriver ut när en användare har identifierat sig vid en multifunktionsskrivare, såväl som datakryptering, dataöverskrivningsprocesser och automatiska borttagningsprocesser, är exempel på de åtgärder som finns för att garantera säkerhet.

Många företag förbiser skrivarsäkerheten och skulle därför kunna smittas av skadlig programvara som till slut äventyrar hela nätverket. För att se till att nätverket är förberett för GDPR, måste företagen vidta omedelbara åtgärder för att inkorporera multifunktionsskrivare i hela sin dataskyddsstrategi.

10. Vilka steg kan jag ta för att förbättra datahanteringen enligt GDPR?
Implementeringen av en eller flera tekniska lösningar kommer att göra det enklare och mer effektivt att uppfylla GDPR-kraven jämfört med manuell bearbetning. Det är förmodligen också det mest kostnadseffektiva alternativet för att komma framåt i utvecklingen med tanke på följande GDPR-krav:

  • datanoggrannhet
  • omedelbar åtkomst
  • datalagring och radering.

Många företag kommer inte att veta vilken metod de ska använda och hur de ska börja klassificera uppgifter som tillfälligtvis lagras i flera IT-system. Nu finns det många automatiserade tekniker för dataklassificering och databehandling på marknaden, däribland de från KYOCERA, som kan användas som en lösning på det här området.

GDPR är även ett bra tillfälle att minska ned på pappersbaserade register som är svåra att hålla reda på och skulle kunna göra att ni bryter mot konsumentens "rätt att glömmas bort", om ni inte kan hitta eller ändra dessa dokument på grund av oorganiserade registrer.

Genom att integrera ett multifunktionssystem i arbetsflöde för skanning av dokument, kan du överföra pappersbaserade dokument snabbt, enkelt och säkert till en elektronisk fil.

Var kan jag hitta mer information om GDPR?

 ICO-hemsidan och ED GDPR-hemsidan är båda bra informationskällor och erbjuder olika användbara resurser för regleringen och för hur man förbereder sig.

Scroll to top