Nya dataskyddet en kalldusch för föreningar

11.10.2017 kl. 16:32
Snart anländer den nya EU-förordningen om skärpt hantering av personuppgifter. Men många föreningar verkar inte ännu ha förstått allvaret. Det säger Ant Simons, VD på Webbhuset.

Det är mycket lätt att måla fan på väggen vad gäller den kommande dataskyddsförordningen, som också kallas GDPR (General Data Protection Regulation). Redan hur EU definierar personuppgifter kan ge föreningsaktiva skrämselhicka:

All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet är personuppgifter. Även bilder (foton) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns.

– Men nu gäller det att behålla lugnet och systematiskt bocka av alla frågetecken, ännu finns det tid. I många föreningar har man varit noggrann men kanske inte så strukturerad som man hade kunnat vara. Nu är det dags att ta tjuren vid hornen och se till att den egna organisationen gör sig redo, säger VD Ant Simons på Webbhuset.

Nu vaknar många upp

Under det senaste året har han ägnat mycket av sin tid åt att förklara vad förordningen innebär för de finlandssvenska föreningarna.

– Okunskapen är stor. Bara för ett par veckor sedan blev vi ombedda att lämna offert på ett utvecklingsprojekt. Tyvärr gick kravspecifikationen stick i stäv mot den kommande dataskyddsförordningen. Därför blev mitt råd att vi på Webbhuset skulle hjälpa till med att utvärdera och justera kravspecifikationen så att den är i linje med dataskyddsförordningen.

När Ant Simons ska förklara den nya dataskyddsförordningen gör han en jämförelse med hur pengar hanteras ansvarsfullt. Eftersom personuppgifter har blivit en eftertraktad hårdvaluta ska dina personuppgifter skyddas lika omsorgsfullt.

– I grund och botten handlar det om konsumentskydd. Alla organisationer som hanterar pengar förväntas göra det enligt säkra rutiner, pengarna ska bokföras och redovisas. Det samma gäller nu personuppgifter. Varje gång du ber någon ge sina personuppgifter ska du kunna svara på varför just de uppgifterna samlas in, vad exakt uppgifterna ska användas till och hur länge informationen sparas. Det är helt logiskt.

Du äger din egen information

Trots att Ant Simons förstår den växande oron bland föreningsaktiva slår han fast att det finns mycket gott i den nya lagen.

– Många av oss lämnar ut namn, hemadresser och e-post till höger och vänster på nätet när vi till exempel handlar eller anmäler oss. Vi ger våra uppgifter men vi är samtidigt ofta irriterade över att vi är tvungna att göra det. Nu ger EU tillbaka kontrollen över våra egna uppgifter. Det är vi medborgare som äger vår egen information, inte den organisation som vi överlåtit information till.

Det betyder att en organisation ska ha beredskap att ge tillbaka din information om du begär det. Du kanske vill radera eller överföra information till någon annan och då ska varje organisation ha processer på plats för att hantera den begäran.

Han oroar sig också över att ordet dataskyddsförordning kan få många att tro att det bara handlar om att ha sitt IT-system i skick.

– Det är mycket mer än så. Redan det faktum att en förening inte kan skylla på sin IT-leverantör och frånskriva sig ansvaret borde få de flesta att vakna upp. Att det är föreningens styrelse som bär ansvaret för att man hanterar personuppgifter korrekt kommer som en kalldusch för många jag har pratat med. Tyvärr går det inte att sticka huvudet i sanden – senast den 18 maj 2018 ska allt vara klart.

Stora summor står på spel

Från EU-håll kunde man inte signalera tydligare hur allvarligt organisationer ska ta den nya förordningen. Den som inte sköter sig får betala dyrt.

– Det handlar om böter på upp till fyra procent av omsättningen. Det förklarar varför man i företagsvärlden har varit ute i god tid och satsat stora summor på att anpassa både organisation och IT-struktur till den nya dataskyddslagen. Men vi ska komma ihåg att samma krav och hot om böter också gäller små föreningar, säger Ant Simons.

Han har fem tips till varje förening som inte ännu har gjort de nödvändiga anpassningarna:

  1. Klargör ansvarspersoner för organisationens datasekretess
    – Här måste styrelsen reservera tid för att dels begripa vad det handlar om, dels komma överens om vem som utses till registeransvarig. Sedan är det självklart att den personen måste få mandat att driva igenom nödvändiga förändringar.
     
  2. Analysera alla personuppgifter i organisationen inklusive hur ni samlar in, arkiverar och förstör information
    – Här gäller det att verkligen nagelfara allt från dammiga mappar i bokhyllor till bortglömda hårddiskar längst in i garderoben. Kom ihåg att personuppgifter också finns på papper!
     
  3. Gör en genomgripande riskanalys av både IT och organisationens arbetssätt. Syna också alla avtal med externa partner i sömmarna
    – Det kan finnas skäl att be om hjälp av en jurist, framför allt om det finns orsak att uppdatera avtal med exempelvis en sanktionsklausul.
     
  4. Skapa en datasekretesskultur i organisationen
    – Alla riktlinjer och anvisningar som skrivs måste sedan förankras grundligt i organisationen. Annars kommer föreningen att ha ett damoklessvärd hängande över sig.
     
  5. Bevaka utvecklingen och bygg förtroende
    – Vad gäller förtroende vågar jag påstå att de finlandssvenska föreningarna har ett gott rykte men det är viktigt att man informerar sina medlemmar om att allt är under kontroll, det är inte uteslutet att det blir en hel del tidningsskriverier när det drar ihop sig. Vad sedan gäller omvärldsbevakningen är till exempel Webbhuset en resurs som man kan anlita, säger Ant Simons.

 

Förordningen i ett nötskal

  1. Privatpersoner har rätt att få ut uppgifter de har lämnat till en organisation för att föra över dem till en annan tjänst, det kallas dataportabilitet.
  2. Innan en förening planerar en ny personuppgiftsbehandling som innebär särskilda risker för de registrerade ska man göra en bedömning av vilka konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska riskerna.
  3. Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, måste man anmäla det till myndigheterna inom 72 timmar. Man kan också behöva informera de registrerade.
  4. Organisationer som behandlar känsliga uppgifter eller uppgifter som innebär en kartläggning av enskildas beteende måste utse en person i organisationen som har till särskild uppgift att bevaka dataskyddsfrågor, ett dataskyddsombud.
  5. Den övervakande myndigheten kan utdöma en sanktionsavgift för den som bryter mot förordningens regler. Avgiften bedöms utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter.
Text: Joakim Enegren