Upphandlingsguiden – GDPR

Experttipsare – ”Börja med nya lagen nu”

Upphandlingsguiden - GDPR 1Förvirringen är omfattande hos företag som måste följa GDPR – EUs dataskyddslag. Enkelt uttryckt skärper GDPR- regelverket för hur organisationer får samla in, ge tillgång till, lagra och hantera personuppgifter.

Ola Källgården, vd hos Olingo
Ola Källgården, vd hos Olingo

– Viktigast är att börja med GDPR projektet nu. Initialt gäller det att skapa en förståelse för vad den nya lagen innebär för just din verksamhet. I en Gap-analys tar du reda på var du befinner dig och vad du behöver göra för att kunna efterleva lagen, säger Ola Källgården, vd hos Olingo, ett oberoende konsultbolag inom It Service Management.

GDPR spänner över olika delar i en verksamhet:
– De som är ansvariga för verksamhetens personuppgifter och hanteringar ska ingå i en projektgrupp med representanter från exempel it, ledningen, marknad och sälj, säger Ola Källgården.
I regel behöver du upphandla juridisk kompetens:
– Välj ett juristbolag i din egen storlek så ökar chansen att de prioriterar dig som kund. Du kan även behöva rekrytera någon som har omfattande kunskaper om dataskydd, säger Ola Källgården.

I förstudien ska du utvärdera allt från vilken information som lagras, till vilka personuppgiftshanteringar som görs.
Utifrån nuläget görs en analys om förslag till åtgärder som krävs för att efterleva GDPR.
Ett exempel i regelverket är att berörda personer ska i större utsträckning kunna få sina uppgifter borttagna från register om de vill. Undantag finns (se branschspalt).
– Till exempel i ett kundvårdssystem går det bygga in funktionalitet som meddelar när det är dags att radera kunddata efter en viss tid, eller så kan kunddata raderas automatiskt i systemet, säger Ola Källgården

Om dina databaser finns hos någon molnleverantörs plattform kan du behöva säkerställa att det i plattformen finns verktyg som gör det enkelt att radera kunddata.
I projektets genomförandefas ska åtgärderna beslutas och införas. Det kan handla om förändringar i it-system, nya avtal, ändrade processer, utbildningsinsatser och nya ansvarsområden.

Fyra saker att tänka på
* Sätt i gång med GDPR-arbetet nu. Vänta inte.
* Se till att tekniker och jurister samarbetar i projektet
* Välj en ”molnjurist” snarare än en it-jurist.
* Utbilda anställda om GDPR.
_______________________________________________________________________________________

Upphandlingsguiden – GDPR


[table id=1 responsive=collapse responsive_breakpoint=all /]


_______________________________________________________________________________________

Valde ett beprövat kort

Det digitala hälsoföretaget Lifesum – med 19 miljoner användare – anlitar en jurist för att bena ut hur GDPR påverkar deras personuppgifter.

Victoria Bastide, CTO på svenska Lifesum
Victoria Bastide, CTO på svenska Lifesum

När Lifesum fick kännedom om GDPR var det flera oklarheter som behövde benas ut. Två frågetecken var hur data som lagras med samtycke skulle hanteras i GDPR annorlunda jämfört med tidigare lagar, och hur kunderna skulle få sin egen data. Ett annat frågetecken var hur eventuella dataläckor skulle rapporteras.
– Vid årsskiftet valde vi Com Advokatbyrå för att få hjälp. Vi har tidigare jobbat med byrån både med persondata och användarvillkor. Vi känner trygghet. De har kompetensen, säger Victoria Bastide, CTO på svenska Lifesum.

Så ni utvärderade inte fler kandidater?
– Nej. Det är svårt när det gäller GDPR. Få om ens någon jurist kan peka på någon referenskund som fullt ut har anpassat sig till GDPR ännu, säger Victoria Bastide.

Lifesum hanterar personuppgifter för 19 miljoner människor som använder Lifesums hälsoapp. I appen, som finns i 16 olika språk, sätter varje användare upp ett mål, till exempel att gå ner i vikt eller leva ett hälsosammare liv. Sedan hjälper appen till att få koll både på matintag och träning genom att bland annat räkna kalorier, så användaren kan nå målet.

Tillsammans med byrån görs nu en inventering hur Lifesum hanterar personuppgifterna, och vad de med stor sannolikhet behöver ändra på för att efterleva GDPR.
– Nu utvärderar vi olika tekniska- och administrativa alternativ för de kunder som framöver vill att deras persondata ska tas bort. Förutom juridiska kundavtal utgår vi från att vi måste förändra våra system och processer. Även ny datasäkerhet kan bli aktuellt, säger Victoria Bastide.

GDPR-projektet lär växla, menar hon.
– Vi vet ju inte hur Datainspektion kommer att tolka de nya lagarna och vad som kommer utkristalliseras som “best practice”. Därför håller vi ögonen öppna för att vårt GDPR-projekt kan förändras under året.

Vilka är dina bästa tips för ett GDPR-arbete?
– Ta reda på vilka resurser som finns i huset och vad du behöver hjälp med externt. Involvera alla som hanterar personuppgifter tidigt i projektet. Bland annat support och kundansvariga.

Lifesum.
Verksamhet: Hälsoföretag som använder digitala lösningar.
Anställda: 59
Upphandlade lösningar. It-juristtjänster från Com Advokatbyrå.
På webben: Lifesum.com / I Appstore: Lifesum


Vill vara på den säkra sidan

Molnleverantören City Network anlitar extern expertis för att inte stå med Svarte Petter om dataskyddslagen GDPR mot förmodan inte skulle efterlevas.

Svenska City Network och liknande molnföretag befinner sig i en särskild situation när det gäller GDPR.

Kim Hindart, CSO på City Network.
Kim Hindart, CSO på City Network.

När City Network lagrar, säkerhetskopierar och levererar data till och från kunderna i molnhallarna i EU, USA och Japan, är molnföretaget en del av sina kunders informationslivscykel.
Kunderna är juridiskt ansvariga för sina personuppgifter.
– Det finns många osäkerhetsfaktorer kring ansvar i informationsflödena i den nya lagen. Därför är det viktigt för oss att vara så väl förberedda som vi kan vara, säger Kim Hindart CSO på City Network.

Att inte efterleva GDPR kan innebära böter på 4 procent av den globala omsättningen, eller maximalt upp till € 20 miljoner. Ännu är det få, om ens något försäkringbolag, som har en försäkring som kan ersätta vitet i sammanhanget.
– På grund av osäkerheten vill vi inte stå oförberedda om det skulle visa sig att vi på något sätt ändå är ansvariga för någon del i informationsflödena, säger Kim Hindart.
För att vara på den säkra sidan började City Network söka efter juridisk GDPR-expertis som har kunskaper om molnmarknaden.
– Vi vill räta ut frågetecken om vi behöver göra förändringar. Även avtal med kunder och riskbedömningar är viktiga frågor, säger Kim Hindart, CSO på City Network.
Därtill vill City Networks säkerställa vad som gäller för personuppgifter som helt eller delvis flödar till och från molnhallarna utanför EU.
Ett underlag med frågor skickades till ett tiotal juristbolag med inriktning på it-juridik. Kandidaterna skulle redogöra City Networks bransch och hur deras affärsmodell fungerar.
– Kandidaterna fick även ge förslag på hur våra avtalsvillkor till kunderna skulle kunna anpassas till GDPR, säger Daniel Gustafsson på City Network.
Efter en utvärdering vann Sharp Cookie Advisors.
Vad fällde avgörandet?
– Sharp kan möta våra juridiska krav och kan ge affärsmässiga råd om GDPR. Därtill kan de våran molnbransch och vara behjälpliga utanför EU, säger Daniel Gustafsson.

Hur hjälper Sharp er just nu?
– De GDPR-anpassar våra avtal gentemot våra kunder. För att säkerställa att de nya avtalen är 100 procent juridiskt hållbara för att kunna efterleva lagen gör Sharp ett omfattande juridiskt arbete, säger han.

De nya avtalen ska bli klara strax innan lagen träder i kraft maj nästa år.
– Om vi mot förmodan skulle bli drabbade av något vite relaterat till våra GDPR-avtal med kunderna i framtiden så är Sharp med och delar på den risken.

City Network
Verksamhet: Öppen molninfrastruktur
Anställda: 50
Upphandlade lösningar. It-juristtjänster och rådgivning Sharp Cookie Advisors
På webben: citynetwork.se