Handbok om ny dataskyddsförordning
Den 25 maj nästa år börjar en ny lag som ersätter PUL (Personuppgiftslagen) gälla med hårdare krav på respekt för individens privatliv och dataskydd i Europa.
Det handlar om EU:s nya dataskyddsförordning, General Data Protection Regulation, GDPR. I dag när nästan alla är uppkopplade delar de omedvetet med sig att massor av personliga beteendedata i den smarta bilen, smarta hemmet och i hälsoappen i smartphonen.
Dessa data sprids vidare, lagras och används på sätt som individen inte kan göra så mycket åt. Internet of Things-utvecklingen har lett till att EU ansett nödvändigheten av att stärka individens rätt till sin egen personliga data och sin virtuella identitet med GDPR. Den gäller för alla organisationer närvarande i Europa.
”Lånar” personliga data
Man kan beskriva det som att organisationerna ”lånar” individernas personliga data under en begränsad tid och för ett speciellt syfte som de ska informera om. Detta ska ske med uttalat samtycke.
Frågan om hur den egna organisationen kan leva upp till individens rätt till sina personliga data i praktiken blir högaktuell. Vad är skillnaden mellan privata data, personuppgifter och informationssäkerhet? Vem äger frågan och var börjar man? Vilka verktyg och metoder ska användas?
GDPR kräver att alla i verksamheten som hanterar personuppgifter ska känna till sitt ansvar. Organisationen behöver hitta ett gemensamt språk som fungerar över avdelningsgränser och levandegör lagtexten, samt privacy champions team som stöttar förändringsarbetet.
Rätten till privatliv
Det nya skyddet för privatliv online och dataskydd kan verka komplicerat men bygger på grundläggande principer som funnits sedan 1980. GDPR och PUL bygger på åtta principer som helt enkelt beskriver rätten till privatliv och dataskydd. Det är ett enkelt ramverk att utgå ifrån när hela verksamheten ska GDPR-anpassas i praktiken.
Under våren utkommer en handbok för GDPR-genomförande: Privacy Principles and Data Protection Practices: A Professional’s Guide to EU GDPR. Boken har två författare, dels Filip Johnssén, Group Privacy Manager, Group Legal, Sandvik AB, och dels Karen Lawrence Öqvist, Privacy specialist, utbildare, talare, författare och dessutom VD på företaget Privasee, med fokus på data- och integritetsskydd. Karen har drygt 20 års erfarenhet inom informationssäkerhet, compliance och privacy på Fortune 500-företag som Novell, Hewlett-Packard och CERN.
Bilden: Karen Lawrence Öqvist, Privacy specialist, utbildare, talare, författare och VD. Foto: Privasee.