En grundläggande skillnad från tidigare datalagar är att GDPR är anpassat för dagens moderna, ”outsourcade” verksamheter och it-miljöer i molnet. Förutom de som kontrollerar persondata, så kallade personuppgiftsansvariga (PUA), har även personuppgiftbiträden (PUB) samma skyldigheter och restriktioner.
Ett biträde är en organisation som behandlar data under instruktion av en personuppgiftsansvarig. Ett exempel kan vara en molnleverantör som behandlar en registeransvarigs kunddata eller en löneleverantör som behandlar de anställdas personuppgifter.
Eftersom det införs höga sanktionsavgifter så åläggs parterna att reglera detta i ett så kallat PUB-avtal, då det kan bli dyrt om någon part brister i sitt ansvar för att skydda personuppgifterna. Det finns många standardavtal i omlopp, men genom att lägga till smarta it-krav kan ni minska risken samtidigt som skyddet ökar för både er och era kunder.
Läs också: Intel orkar inte uppdatera osäker app – uppmanar till avinstallation
Förutom att GDPR införs 25 maj 2018 föreslår regeringen att ett nytt gradindelat brott införs i brottsbalken: olaga integritetsintrång. Regleringen straffbelägger intrång i någons annans privatliv genom spridning av vissa sorters bilder, information eller andra uppgifter.
Här är mina rekommendationer:
1. Se till att under ”definitioner” beskriva de krav som gäller för att erhålla säker kommunikation mellan parterna och att den är godkänd enligt GDPR (SEAL). Då kan du hänvisa till dessa i avtalet.
2. Glöm inte, under ”kategorier av registrerade”, att definiera vilka personuppgifter som ska behandlas och de olika skyddskategorier som krävs vad gäller känsliga och extra skyddsvärda uppgifter. I de flesta standardavtal är detta inte reglerat, men det har stor rättslig betydelse.
3. Under ”personuppgiftbiträdets skyldigheter”, definiera hur kommunikation ska ske mellan parterna. Genom att skriva att man exempelvis bara får nyttja tjänster som erhållit godkänd behörighetskod (SEAL) så säkerställer man att misstag via e-post, Skype eller andra tjänster inte förekommer.
4. Incidentrapportering är viktigt att reglera med biträdet, och även här ska det beskrivas hur man gör detta, då själva rapporten är extremt känslig. Dessutom ska detta även stödja säker dialog.
5. Vad gäller konsekvensbedömning och säkerhetsåtgärder som görs hos biträden ska man ställa krav på att alla förändringar ska rapporteras. Detta gäller även hos eventuella underbiträden, exempelvis driftpartners eller liknande.
6. Lägg in under ”ansvar” att alla leverantörer av digitala tjänster ska kunna uppvisa en godkänd uppförandekod eller en så kallad DPIA över sina tjänster eller produkter.
7. Glöm inte att under ”ansvar” specificera att det är artikel 82 i nya dataskyddsförordningen som man syftar till vad gäller delat ansvar för behandlingen samt att eventuell tvist ska föras i svensk domstol.
Läs mer: Nya lagar sätter press på företagen – svettigt 2018 för it-juridiken
För att framgångsrikt skydda alla personuppgifter ni ansvarar för så var tydliga i era PUB-avtal vilka it-regler och dataskydd ni kräver av era biträden.
De som genomför åtgärderna ovan får tydliga avtal, vilket gör det lättare för parterna att efterleva GDPR efter 25 maj.
Befattning: GDPR-expert
Företag: SecureAppbox
E-post: anders@securemailbox.com
Expertområden: GDPR, internet, mobilitet, app-utveckling, molntjänster, e-signering, outsourcing, informationssäkerhet och privacy by design samt sekretess som standard.
Bakgrund: Har arbetat i 30 år med it och mjukvara över hela världen. Har skrivit böcker inom mobilt internet. Investerare i och grundare av flera internetföretag och it-säkerhetsföretag.