Så förbereder vi oss för GDPR

linn_farg

Det är nog inte många som har undgått debatten om GDPR - EU:s nya dataskyddsförordning som träder i kraft den 25 maj, med syfte att stärka personuppgiftsskyddet för alla EU-medborgare. Hur förbereder vi på VA-utveckling oss inför den nya lagen?

GDPR handlar om individens rätt och rättigheter till sina personuppgifter och innehåller utökade krav och skyldigheter för både personuppgiftsansvariga och personuppgiftsbiträden. Det innebär att det även kommer att påverka oss som systemleverantör som behandlar personuppgifter för andras räkning. Detta är en av nyheterna i förordningen – att skyldigheter som tidigare gällt för den personuppgiftsansvarige nu även gäller för personuppgiftsbiträdet.

Vad gör vi?
Det är viktigt för oss att leva upp till kraven från GDPR och vi ser därför över och utvärderar hela vår informations- och avtalsstruktur. Vi har arbetat efter två huvudspår; ett för när vi är Personuppgiftsansvariga, det vill säga när vi hanterar våra anställdas eller våra kunders personuppgifter och ett för när vi är Personuppgiftsbiträde och hanterar information för våra kunders räkning.

I arbetet med GDPR tar vi självklart hänsyn till Privacy by design, ansvarsskyldighet, dataportabilitet, arkiveringstider, anonymisering, kryptering m.m. Och även om mycket finns på plats redan, tillkommer det nya krav med GDPR som vi behöver möta på ett bra sätt. Eftersom lagen ännu inte har trätt i kraft och det saknas praxis inom området så kan tolkningarna av vissa krav komma att ändras. Vi har därför en tät dialog med jurister för att dels säkerställa att vi förbereder oss inför GDPR på rätt sätt, dels försäkra oss om att vi håller oss uppdaterade på vad som sker inom området. Vi ser det som vår uppgift att agera som ett pålitligt personuppgiftsbiträde och vill hjälpa dig som kund att efterleva GDPR så mycket vi kan. 

Personuppgiftsbiträdesavtal 
Vi har med hjälp av jurister tagit fram ett Personuppgiftsbiträdesavtal som följer branschens riktlinjer. Avtalet krävs för att vi i rollen som personuppgiftsbiträde ska få behandla personuppgifter för våra kunders räkning efter den 25 maj. I samband med detta, uppdaterar vi även våra supportavtal.  

Vi kommer att skicka personuppgiftsbiträdesavtal till alla våra befintliga supportavtalskunder inom kort. Avtalet måste skrivas under och vara oss tillhanda senast den 25 maj. Observera att vi inte skickar något biträdesavtal till er som inte är avtalskunder hos oss. Vill ni att vi skickar er vårt biträdesavtal, är ni välkomna att kontakta oss via mejl enligt nedan. 

Tänk på att man är gemensamt ansvarig för framtagande av såväl personuppgiftsbiträdesavtal som underbiträdesavtal.
GDPR i våra produkter
Vår ambition är att underlätta för våra kunder att hantera personuppgifter i enlighet med GDPR i våra produkter. Ur ett utvecklingsperspektiv har vi tittat på de viktigaste frågeställningarna för att se över vad som behöver göras i systemen för att stödja de nya kraven som följer med GDPR. Exempel på sådana frågeställningar är: vilka personuppgifter behandlas i systemet? Hur lång tid lagras informationen? Var i systemet lagras det och hur ser rutinen ut för när någon vill få ut information om en individ från systemet? 

Formulär på hemsidan
På vår hemsida får vi in uppgifter från personer som på ett eller annat sätt visat intresse för oss - allt från att man bokat en demo av vårt system, fyllt i en intresseanmälan eller valt att prenumerera på vårt nyhetsbrev. För att följa GDPRs regelverk kommer du som besökare därför få möjlighet att läsa om varför vi samlar in dina uppgifter, hur vi kommer att hantera dem samt vad vi ska använda dem till. Innan du skickar in dina uppgifter kommer du dessutom behöva ge ditt godkännande, så att vi är säkra på att du samtycker till att vi hanterar dina uppgifter. 

Intern Personuppgiftspolicy
För att säkerställa att vi och våra medarbetare arbetar med personuppgifter på rätt sätt har vi satt upp tydliga riktlinjer i en intern Personuppgiftspolicy. 

Internt IT-stöd
Vi använder oss av många digitala verktyg i vår vardag. Självklart har vi därför varit noga med att de verktyg vi använder i vårt arbete följer alla GDPR-riktlinjer kring hantering av personuppgifter. För hantering av våra kunders personuppgifter använder vi Lime CRM. Lime har noggrant analyserat kraven som Dataskyddsförordningen har och ligger i framkant med att följa kraven i GDPR. 

Lime har skrivit en hel del om GDPR och vill du veta mer kan vi rekommendera deras GDPR-skola
Titta gärna även på deras webbinarium Lime och GDPR >

Vid frågor och kontakt avseende GDPR är ni varmt välkomna att kontakta oss via mejlformuläret nedan.2018-04-23