Den 25 maj 2018 träder den nya dataskyddslagen GDPR i kraft. För många företag innebär detta stora förändringar i hur data hanteras. Har du koll på de utmaningar som GDPR innebär för dig och ditt företag?
Vad är GDPR?
GDPR (General Data Protection Regulation) är den nya dataskyddsförordningen som träder i kraft den 25 maj 2018 och är ett regelverk för behandling av personuppgifter. Regelverket innebär utökade krav vid hantering av personuppgifter. GDPR ersätter den nuvarande personuppgiftslagen (PUL).
SwedeTime / Internetplatsen och GDPR
Vi har jobbat med GDPR sedan sommaren 2017 för att fullt ut följa de regler och rekommendationer som GDPR innebär. Förutom att själva stödja GDPR ska vi vara ett säkert och tryggt personuppgiftsombud för alla våra kunder, så att de i sin tur följer GDPR.
Vi har identifierat ett antal olika områden där vi sett över och förbättrat strukturer och rutiner för att bättre följa GDPR. Dessa är:
Kontroll av åtkomst
Endast de personer och tjänster som behöver ha tillgång till data och tjänster ska ha det. Våra tjänster ska ha bästa möjliga struktur och teknik för att säkerställa att ingen data kommer i orätta händer. Alla våra tjänster driftas i Sverige och har bl.a. stöd för SSO, två-faktorsinloggning och IP-vitlistning så att våra kunder kan använda det som deras organisation behöver.
Borttagning av data
I aktiva kundrelationer, om inget specifikt avtalats, så rensas gammal data bort, t.ex. bokningar, efter 14 månader. Även backuper tas bort efter 14 månader. Vid avslut av kund tas all kundens data bort.
Säkerhet
Antivirus, nätverksövervakning, lösenordshantering med mera, har setts över och förbättrats. All kommunikation och backuper krypteras.
Spårbarhet
Loggning sker vid alla händelser, vilket ger full möjlighet till spårning och om ett intrång skulle ske kan vi ta fram vad som exponerats. Våra loggar består av systemloggen som visar viktiga händelser i systemet, webbserverloggen som visar alla anrop till systemet, transaktionsloggen som visar alla databaskommunikation, operativsystemloggen som visar händelser på servern, openstack-loggen som visar ändringar i driftmiljön.
Underleverantörer
Vi jobbar med våra underleverantörer, t.ex. för serverdrift och meddelandehantering, för att säkerställa att de följer GDPR och att vi har de avtal som krävs på plats.
Övrigt
För att på bästa sätt säkerställa att vi följer GDPR kommer vi att stänga ner våra äldre versioner av schemasystemet så att alla kunder behöver gå över till den senaste generationen av plattformen, SwedeTime Go version 6.x som:
- bygger på en robust och säker struktur för datahantering
- minimerar behovet av externa komponenter, vilket ger ökad kontroll över säkerheten.
- är vår mest använda produkt och den testas, utvärderas och uppdateras löpande med krav från våra kunder i deras GDPR-arbete.
3 viktiga grundstenar inom GDPR
Här är några tips från oss på vad du som kund behöver göra i samband med GDPR.
- Inhämta kunskap. Skaffa kunskap om GDPR, vad det innebär och hur det påverkar just er.
- Se över data. Är det känslig data, t.ex. minderåriga, sjukvårdsdata, politisk eller sexuell läggning? Lagrar ni mer data än ni behöver? Hur länge sparar ni data och hur ser rutinerna ut för att ta bort data?
- Avtal och rutiner. Finns personuppgiftsbiträdesavtal på plats med de underleverantörer ni använder? Har ni tagit in samtycke från anställda att lagra det ni gör? Hur ser rutinerna ut, t.ex. när personer slutar eller vill bli borttagna?
Kontakta Per Appelgren, GDPR-ansvarig på SwedeTime, om du vill veta mer, per.appelgren@swedetime.com.