GDPR – en lag i 27 länder.
Just nu jobbar vi med att förbereda Areff och dess personal för GDPR, eller Allmänna dataskyddsförordningen (Europaparlamentets och rådets förordning (EU) nr 2016/679), som går i skarp drift i maj 2018.
”Börja i tid, håll huvudet kallt och beta av listan” – det är de tips Fredrik Martinsson, delägare och projektledare för införandet av GDPR på Areff Systems AB ger när det gäller införandet av GDPR. Han fortsätter – ”GDPR är inte en IT-fråga, det rör all personal och alla system på Areff och omfattar både våra interna personuppgifter och de extern personuppgifter som kommer från våra kunder”.
”Jag tycker att vi har börjat i god tid och har redan från början inkluderat alla anställda på Areff, från ekonomiavdelningen till produktionen. I vår bransch har säkerhet och integritet samt reglerna från Personuppgiftslagen, PuL, alltid varit viktigt. Nu får vi ett mer formellt regelverk att förhålla oss till, då måste alla vara med på tåget.”, säger Bernt Karlsson, delägare och VD på Areff.
”Många rutiner finns redan på plats och en del är nya och ska arbetas in. Arbetet är redan i full gång och vi håller jämn takt. Det känns bra” -säger Christian Kuhr, IT-ansvarig och tekniker på Areff.
I vårt arbete på Areff så delar vi upp projektet i två huvuddelar; hanteringen av anställdas personuppgifter och hanteringen av våra kunders personuppgifter.
Personuppgifter som berör de anställda är personnummer adress, e-posthantering, löner, pension, semesteruttag, eventuella sjukdomar men även medverkan på Areffs hemsida och annat marknadsmaterial såsom foldrar och produktkataloger. GDPR omfattar en plan för ALLA personuppgifter som rör den anställda och information som kan kopplas till den anställde. För att möta kraven ser vi över hela vår informationsstruktur. I det arbetet har vi tagit fram en struktur för att på ett bra sätt spara och skydda de uppgifter som vi behöver, men vi har också identifierat en del data som kan rensas bort.
”Den huvudregeln vi använder när det gäller personuppgifter är att ställa frågan – Behöver vi den här informationen? Om inte, släng den direkt.” – förklarar Christian Kuhr.
Även dokumentation genom fotografering och filmning måste ske med den anställdes samtycke. Här blir lösningen att strukturera information på ett sådant sätt att den är lätt att rensa i vid behov, samt att skydda informationen med en högre IT-säkerhet. Detta omfattar likväl publikationer och sociala medier – där har vi arbetat fram en policy på hur vi ska publicerar och varför vi publicerar samt att ett samtycke ska vara utfärdat mellan parterna innan publicering sker.
”Att jobba med web och marknadsmaterial och samtidigt följa GDPR kommer att bli utmanande. För vår del kommer det att bli viktigt att hela tiden säkerställa att vårt material är bra och schysst samt att vi har samtycke från de personer som medverkar” – beskriver Charlotte Jolin, Marknadsassistent på Areff.
När det gäller våra kunders personuppgifter så har vi sedan tidigare arbetat enligt riktlinjerna i PuL, vilket är den gällande lagstiftningen. Detta gör att många principer och verktyg för att hantera namn, e-postadress och i vissa fall mer känslig information som personnummer redan används på Areff. Vi jobbar dock med att gå igenom hela strukturen för att säkerställa att informationen hanterar på ett bra sätt. ”Vi kommer också att ge viss data en högre säkerhetsklass samt rensa bort data som inte är befogad för oss att spara.” – säger Fredrik Martinsson.
Personuppgifter som rör orderhantering faller också under GDPR, men här har vi även att beakta de bokföringslagar som finns. ”Vi är ålagda att spara vår bokföring i minst sju år och som tidigare kommer vi att göra det på säkrast möjliga sätt.” – förklarar Emelie Gustafsson, ekonomiansvarig på Areff.
”Vi jobbar ständigt med att förbättra vår IT-miljö och dess säkerhet. IT-systemet spelar roll vid införandet av GDPR, men på det stora hela så kan inte uppfyllandet av GDPR lösas med ett förändrat IT-system eller en massa nya verktyg. Att möta kraven från GDPR kräver ett förändrat och mer restriktivt sätt att se på personuppgifter samt förmågan att införa nya rutiner och arbetssätt i den egna organisationen.” – förklarar Fredrik Martinsson.
Vi jobbar vidare för att vara klara med införandet i god tid till maj 2018. Vi har också på begäran startat upp projekt tillsammans med befintliga kunder för att titta på deras lösningar och hjälpa till i arbetet med att säkerställa att de möter GDPR på utsatt tid.
”GDPR kan ses som väldigt byråkratisk och kommer att komplicera en del av vårt arbete, men syftet, att öka skyddet av individens personuppgifter, tycker jag väger tyngre.” – avslutar Fredrik Martinsson.
Läs även – It-juristens checklista: Det här krävs för att leva upp till EU:s dataskyddsförordning
Svensk version av dataskyddsförordningen