EU:s nya dataskyddsförordning, GDPR, ersätter PUL i maj 2018 och innebär hårdare krav på hanteringen av personuppgifter.

Den 25 maj 2018 går personuppgiftslagen, PUL, i graven och ersätts av EU-förordningen GDPR. Företag som bryter mot förordningen riskerar administrativa avgifter på upp till 20 miljoner euro eller fyra procent av sin globala omsättning.

I grunden syftar GDPR till att den enskildes rätt till sina uppgifter ska stärkas. Företagen behöver dokumentera vilka system och processer som hanterar personuppgifter, klassa uppgifternas känslighet, beskriva rapportvägar för hantering av dataintrång och vilka rutiner som finns för teknisk och administrativ personal som hanterar personuppgifter med mera.

Personer som finns lagrade har rätt att få ut alla uppgifter som finns lagrade om dem. Därmed behövs processer för att lämna ut information och för att säkerställa att det verkligen är rätt person som begärt att få ut uppgifterna.
Det ska även vara enkelt för en person att ta sina uppgifter från en leverantör och ge dem till en annan. Tanken med det är att det ska bli enkelt att byta mellan olika leverantörer och på så sätt öka konkurrensen.

Krävs anpassad lösning

Förordningen omfattar både de som äger informationen, exempelvis ett företag, och eventuella tjänsteleverantörer. Företag som lagrar personuppgifter i molnet till exempel måste vara säkra på att molnleverantörerna hanterar datan enligt GDPR.

Elena Gilotta, Director of Compliance på Box, pekar på att rätt molntjänst kan förenkla för företagen att följa GDPR.

– Om företagen kan lagra och hantera alla sina data på en central plats i en säker molnlösning blir det mycket enklare för dem att följa GDPR, säger hon.

För att det ska fungera krävs det att tjänsten är anpassad efter verksamhetens behov. En fallgrop här kan vara att tro att en enkel standardlösning automatiskt fungerar för alla.

– Att leta efter billiga lösningar som inte är designade för din verksamhets behov när det gäller hantering av personuppgifter kan vara lockande, men det är ett, misstag. GDPR tillåter inte att du lägger ut personuppgifter på en extern leverantör utan att veta att den följer förordningen, säger Elena Gilotta.

De som väljer en leverantör som uppfyller alla krav kan emellertid ha stor nytta av det, inte bara av juridiska skäl utan även som en konkurrensfördel.

– Företag som är villiga att satsa på bra kontrollfunktioner och processer för att garantera att de följer GDPR kommer att kunna ligga före sina konkurrenter och erbjuda kunderna säkrare tjänster, säger Elena Gilotta.

Läs mer: 5 steg till bättre compliance