Åtgärdsplan för uppfyllande av dataskyddsreformen

EU:s dataskyddsreform börjar gälla den 25 maj 2018 och ersätter den nuvarande personuppgiftslagen (PUL). För myndigheter, organisationer och organisationer som samlar in personuppgifter ställs nya krav. Detta påverkar alltså även Wikimedia Sverige och föreningen behöver under det kommande året arbeta för att uppfylla det nya direktivets krav gällande behandling av personuppgifter. Denna åtgärdsplan beskriver hur föreningen kommer att arbeta med det.

Dataskyddsförordningen

Dataskyddsförordningen (General Data Protection Regulation (GDPR)) innebär följande:[1]

  • Den gäller för alla företag och organisationer som hanterar data om EU-medborgare,
  • Den innebär att man skall uppfylla den, men också kunna uppvisa att organisationen uppfyller den.
  • Syftet med insamling av data skall anges, men det omfattar även var data lagras, vilka som har tillgång till data, med vilka tredje parter data utbyts och var de håller till etc.
  • Datasäkerhet skall byggas in i systemen och lämpliga organisatoriska och tekniska åtgärder skall vidtas för att säkerställa lämplig säkerhet i förhållande till risken.
  • En riskanalys och konsekvensbeskrivning av systemen skall göras.
  • Säkerhetsincidenter skall rapporteras till myndigheter och till dem som som omfattas av datauppgifterna.
  • Att inte uppfylla reglerna kan leda till omfattande böter.

Vad innebär GDPR?[2]

  • GDPR ersätter PUL den 25 maj 2018 och ställer strängare krav på personuppgiftshantering än vad PUL gjort.
  • GDPR innebär gemensamma regler i 31 länder (EU/EES).
  • Genom GDPR får privatpersoner starkare rätt att förfoga över sina personuppgifter och att invända mot hur företag och organisationer använder uppgifterna.
  • Alla personuppgifter en organisation har skall kunna motiveras och redovisas, liksom var uppgifterna finns.
  • Den som innehar personuppgifter skall kunna redovisa varifrån uppgifterna kommer, vad den skall användas till och tillse att den är korrekt och aktuell.
  • Personen som personuppgifterna gäller har rätt att få insyn i uppgifterna och begära ändringar/korrigeringar, liksom att i de flesta fallen få uppgifterna raderade.
  • GDPR gör ingen skillnad på strukturerade och ostrukturerade personuppgifter. Det innebär att e-post, dokument, bilder och videor omfattas av GDPR.
  • Datasäkerhetskraven innebär att personuppgifter inte får komma i orätta händer och att förlust av data skall anmälas till Datainspektionen.

Personuppgifters livscykel

Personuppgifter genomgår en livscykel från det att de första gången inhämtas tills de tas bort, vilken kan beskrivas i följande steg:

  1. Inhämtning
    1. Ny inhämtning
    2. Nytt medgivande
  2. Medgivande
  3. Lagring
  4. Provisionering
  5. Gallring

13 frågor att ta ställning till

Datainspektionen listar följande frågor som man bör ställa sig:[3]

  1. Är er organisation medveten om EU:s nya dataskyddsförordning?
  2. Vilka personuppgifter hanterar ni?
  3. Använder ni missbruksregeln idag?
  4. Vilken information lämnar ni?
  5. Hur ska ni tillmötesgå de registrerades rättigheter?
  6. Med vilket rättsligt stöd behandlar ni personuppgifter?
  7. Hur inhämtar ni samtycke?
  8. Behandlar ni personuppgifter om barn?
  9. Vad ska ni göra vid personuppgiftsincidenter?
  10. Vilka särskilda integritetsrisker finns med er behandling?
  11. Har ni byggt in skydd för personuppgifter i era it-system?
  12. Vem ansvarar för dataskyddsfrågor i er organisation?
  13. Har ni verksamhet i flera länder?

Åtgärdsplan

Föreningen bör arbeta med införandet av dataskyddsförordningen enligt följande:

  1. Analys. I detta arbete ingår att gå igenom de 13 frågorna ovan, men också att analysera hur föreningen hanterar personuppgifter enligt livscykeln beskriven ovan.
  2. Planering av nödvändiga ändringar. Här läggs en plan för genomförandet av nödvändiga ändringar och rapportering till styrelsen av arbetet.
  3. Införande. Implementering i system, webbplats, uppdatering av rutiner etc.
  4. Fastställande av baseline som validerar och verifierar uppfyllandet.

Integritetspolicy

Föreningens integritetspolicy beskriver vilka personuppgifter föreningen hanterar, hur de hanteras och vilka rensningsrutiner som gäller. Integritetspolicyn uppdaterades senast på styrelsemötet 2015-08-23. Till följd av byte av ekonomisystem behöver den uppdateras med uppgifter om system (CiviCRM har ersatts med Fortnox).

Skyldigheter den 25 maj 2018[2]

När GDPR börjar gälla måste vi ha följande rutiner på plats:

  • Veta vilka personuppgifter vi har.
  • Klarlagt grunden för varför vi har personuppgifterna.
  • Säkerställa personuppgifternas korrekthet, aktualitet och relevans.
  • Ta fram alla personuppgifter om en person när denne så begär.
  • Kunna radera alla personuppgifter på begäran (om inga hinder föreligger).
  • Ändra korrigera personuppgifter.
  • Informera andra organisationer om ändringar i de fall personuppgifterna överförts till andra.
  • Om vi tagit emot personuppgifter från andra organisationer skall vi kunna korrigera och radera uppgifterna.
  • Inhämta samtycke från dem vi samlar in personuppgifter om.
  • Kontrollera åldern på personer som lämnar personuppgifter.
  • Föräldrar/vårdnadshavare skall lämna tillstånd om personuppgifterna gäller personer under 16 år.
  • Informera om vad personuppgifterna skall användas till och med vilken rätt de samlats in, liksom vilka rättigheter den registrerade har enligt GDPR.
  • Säkerställa datasäkerheten.
  • Vid säkerhetsincidenter rapportera till Datainspektionen inom föreskriven tid (72 timmar), liksom att informera berörda.
  • Överföring personuppgifter till länder utanför EU/EES. föreningens

Uppföljning

Uppföljning av GDPR-arbetet redovisas hur arbete med GDPR fortskrider. Logga alla åtgärder där och ta upp punkter som behöver utredas.

Uppdatering av integritetspolicy

Säkerhetsåtgärder

  • En databas bör vara krypterad, vilken är rekommenderad teknisk åtgärd.
  • Kryptering på externa kommunikationskanaler.
  • Patchningar
  • Vi bör beakta:
    • data@rest
    • data@transit
    • autentisering
    • backup
  • Klassificera informationen i tre nivåer, där den högsta avser HR-uppgifter (lönesystem) och kundsystem. Lägsta nivån är publik information.
  • En beskrivning av nuläge och läge om X år.

Referenser

  1. Marc Lankhorst: 7 Things Every Enterprise Architect Needs to Know About the GDPR
  2. 2,0 2,1 Allt du måste veta om GDPR - Ett redaktionellt Whitepaper om EU:s dataskyddsförordning GDPR, Anders Lotsson och Lars Dobos, IDG AB
  3. Datainspektionen: Förberedelser för personuppgiftsansvariga

Externa länkar