Full aktivitet inför nya dataskyddsförordningen på Kommentus

Snart träder den nya dataskyddsförordningen i kraft. Malin Cope, bolagsjurist, leder arbetet med den nya lagstiftningen på SKL Kommentus. Under hösten har hon och flera andra arbetat målinriktat för att nödvändiga rutiner och processer ska finnas på plats när lagen kommer.

Nu är det inte många månader tills GDPR, eller nya Dataskyddsförordningen blir lag den 25 maj. För Malin Cope, jurist hos SKL Kommentus har lagändringen inneburit en intensiv höst för att pusselbitarna ska hinna falla på plats.

– Vi håller på med ett stort internt arbete för att vår organisation ska vara i linje med dataskyddsförordningens bestämmelser i maj, berättar hon.

GDPR reglerar behandlingen av personuppgifter och implementeras för att stärka skyddet av den personliga integriteten hos enskilda människor. Men vad är egentligen ”personuppgifter”?

– Personuppgifter innefattar alla uppgifter som i sig själva eller i kombination med andra uppgifter, kan leda till en enskild individ, förklarar Malin.

Adress, namn, telefonnummer och IP-adress är alltså alla exempel på personuppgifter, men även information om var man arbetar, vilken inkomst man har eller vad man gör på fritiden. Reglerna för hur informationen behandlas finns till för att skydda människor mot integritetskränkande händelser vilket idag är betydligt vanligare än för bara några år sedan.

– Tekniken spelar stor roll i varför lagstiftningen kring detta behöver stärkas. Med teknikens hjälp finns växande möjligheter att spåra folk och registrera olika typer av uppgifter som hur man rör sig, vem man talar med och hur ens hälsa ser ut. För att skydda människors integritet i en alltmer digitaliserad värld behövs de här reglerna, konstaterar Malin.

Ett detektivarbete

Hos SKL Kommentus pågår ett omfattande arbete för att uppfylla dataskyddsförordningens utökade skyldigheter för SKL Kommentus som personuppgiftsansvarig.

– Vi har gått igenom samtliga system och genomfört intervjuer med medarbetare för att kartlägga samtliga av våra behandlingar. Det har varit ett riktigt detektivarbete, berättar Malin. Arbetet med att åtgärda vissa brister och förbättra våra processer pågår för fullt och målsättningen är att vara klar till den 25 maj när lagen träder i kraft.

– Det är spännande att försöka få ihop regelverket med tekniken, tycker Malin, för att lyckas krävs det ett ömsesidigt och nära samarbete med de olika verksamheterna för att ha full förståelse för utmaningarna.

Relevanta krav i upphandlingar av ramavtal

Parallellt med det interna arbetet arbetar SKL Kommentus Inköpscentral med att ställa relevanta krav i ramavtalen avseende personuppgiftsbehandling, samt underlätta för kunderna vid avrop på ramavtalen.

– När vi upphandlar en leverantör som t.ex. ska tillhandahålla molntjänster, då gäller det att fundera över var uppgifterna i slutändan kan hamna. Kanske på en server i ett annat land, säger Malin. Då är det viktigt att det finns en adekvat skyddsnivå för dessa personuppgifter.

– Det finns redan i dag ett lagkrav på att ett så kallat personuppgiftsbiträdesavtal ska finnas mellan en personuppgiftsansvarig och den leverantör som ska behandla personuppgifter åt den personuppgiftsansvarige. SKL har tagit fram en bra mall* på sådant avtal, som man kan använda som utgångspunkt, berättar hon.

Vilken typ av upphandlingar berörs av den nya dataskyddsförordningen?

– Kort sagt alla avtal som innefattar behandling av personuppgifter. Tex upphandlingar av molntjänster, konsulter och resetjänster Även befintliga avtal kan beröras då ett personuppgiftsbiträdesavtal kan behövas uppdateras, för att anpassas till dataskyddsförordningens bestämmelser, avslutar hon.