En grundläggande skillnad från tidigare datalagar är att GDPR är anpassat för dagens moderna, ”outsourcade” verksamheter och it-miljöer i molnet. Förutom de som kontrollerar persondata, så kallade person­uppgifts­ansvariga (PUA), har även person­uppgift­biträden (PUB) samma skyldigheter och restriktioner.

Ett biträde är en organisation som behandlar data under instruktion av en person­uppgifts­ansvarig. Ett exempel kan vara en molnl­everantör som behandlar en register­ansvarigs kunddata eller en löne­leverantör som behandlar de anställdas person­uppgifter.

Eftersom det införs höga sanktions­avgifter så åläggs parterna att reglera detta i ett så kallat PUB-avtal, då det kan bli dyrt om någon part brister i sitt ansvar för att skydda person­uppgifterna. Det finns många standard­avtal i omlopp, men genom att lägga till smarta it-krav kan ni minska risken samtidigt som skyddet ökar för både er och era kunder.

Läs också: Intel orkar inte uppdatera osäker app – uppmanar till avinstallation

Förutom att GDPR införs 25 maj 2018 föreslår regeringen att ett nytt gradindelat brott införs i brottsbalken: olaga integritets­intrång. Regleringen straffbelägger intrång i någons annans privatliv genom spridning av vissa sorters bilder, information eller andra uppgifter.

Här är mina rekommendationer:

1. Se till att under ”definitioner” beskriva de krav som gäller för att erhålla säker kommunikation mellan parterna och att den är godkänd enligt GDPR (SEAL). Då kan du hänvisa till dessa i avtalet.

2. Glöm inte, under ”kategorier av registrerade”, att definiera vilka person­uppgifter som ska behandlas och de olika skydds­kategorier som krävs vad gäller känsliga och extra skyddsvärda uppgifter. I de flesta standardavtal är detta inte reglerat, men det har stor rättslig betydelse.

3. Under ”person­uppgift­biträdets skyldigheter”, definiera hur kommunikation ska ske mellan parterna. Genom att skriva att man exempelvis bara får nyttja tjänster som erhållit godkänd behörighetskod (SEAL) så säkerställer man att misstag via e-post, Skype eller andra tjänster inte förekommer.

Det här är en artikel från Expert Network »

4. Incidentrapportering är viktigt att reglera med biträdet, och även här ska det beskrivas hur man gör detta, då själva rapporten är extremt känslig. Dessutom ska detta även stödja säker dialog.

5. Vad gäller konsekvensbedömning och säkerhets­åtgärder som görs hos biträden ska man ställa krav på att alla förändringar ska rapporteras. Detta gäller även hos eventuella under­biträden, exempelvis drift­partners eller liknande.

6. Lägg in under ”ansvar” att alla leverantörer av digitala tjänster ska kunna uppvisa en godkänd uppförandekod eller en så kallad DPIA över sina tjänster eller produkter.

7. Glöm inte att under ”ansvar” specificera att det är artikel 82 i nya dataskydds­förordningen som man syftar till vad gäller delat ansvar för behandlingen samt att eventuell tvist ska föras i svensk domstol.

Läs mer: Nya lagar sätter press på företagen – svettigt 2018 för it-juridiken

För att framgångsrikt skydda alla person­uppgifter ni ansvarar för så var tydliga i era PUB-avtal vilka it-regler och dataskydd ni kräver av era biträden.

De som genomför åtgärderna ovan får tydliga avtal, vilket gör det lättare för parterna att efterleva GDPR efter 25 maj.

Fakta

Befattning: GDPR-expert
Företag: SecureAppbox
E-post: anders@securemailbox.com
Expertområden: GDPR, internet, mobilitet, app-utveckling, molntjänster, e-signering, outsourcing, informationssäkerhet och privacy by design samt sekretess som standard.
Bakgrund: Har arbetat i 30 år med it och mjukvara över hela världen. Har skrivit böcker inom mobilt internet. Investerare i och grundare av flera internetföretag och it-säkerhetsföretag.