Genomförandet av den allmänna dataskyddsförordningen (GDPR) i maj 2018 revolutionerade hur företag i Europeiska unionen (EU), och alla företag som säljer till EU, skyddar och hanterar användardata. GDPR-efterlevnad är inte frivilligt, och företag som slarvar eller undviker att hantera personuppgifter på rätt sätt kan komma att bli straffade med gigantiska bötesbelopp. Samtidigt har GDPR kommit att bli en modell för nyutvecklade lagar gällande sekretess världen över.

Vad är GDPR?

Som namnet antyder så är GDPR en uppsättning av olika dataskyddsbestämmelser. GDPR ersatte EU:s tidigare dataskyddsdirektiv, som varit i kraft sedan 1995. GDPR fokuserar på företagens skyldigheter att skydda personuppgifter och integritet samt reglerar även exporten av uppgifter utanför EU. Även om GDPR utgör ett betydande steg i att förbättra dataskyddet och konsumenternas rättigheter kring den personliga integriteten så har förordningen flera nackdelar.
Det mest anmärkningsvärda är användningen av vaga terminologier, såsom ”rimligt skydd”, som knappast erbjuder specifik vägledning om vad aktören i fråga förväntas uppfylla. Men vid lanseringen av GDPR så har myndigheterna i EU:s medlemsstater uttryckt sig explicit om att dessa kommer hjälpa företag att fullfölja de relationerna som beskrivs i GDPR snarare än att omedelbart fokusera på de se inte är GDPR-krediterade.
Hittills har det knappt förekommit några signifikanta fall av GDPR överträdelser som tagit sig hela vägen till de europeiska domstolarna. Det är osannolikt att någon kommer att till fullo uppskatta omfattningen av GDPR tills detta inträffar vill säga.

Varför utvecklades GDPR?

EU utvecklade GDPR främst på grund av att 1995 års dataskyddsdirektiv inte längre var ändamålsenligt. Den tidigare förordningen antogs och genomfördes före e-handelsboomen och tillväxten av internetanvändning i allmänhet. Den data som samlades in för 25 år sedan bleknar i jämförelse med vad som hanteras idag. Dessutom höjdes oron gällande lagring och överföringen av uppgifter på utvecklingen av GDPR. Förordningen syftar främst till att skydda konsumenternas data och integritet. Men EU:s ledare hoppades också att det skulle leda till att företagen blev mer omsorgsfulla kring data i allmänhet, vilket i sig skulle indirekt minska de olika formerna av dataintrång.

Vilka typer av data skyddar GDPR?

GDPR täcker de flesta personuppgifter som ditt företag samlar in om dina kunder. Särskilt allt som potentiellt kan identifiera en individ på ett unikt sätt. GDPR-efterlevnad är tillämplig oavsett vilken plattform som samlar in data, vilket innebär att du måste säkra den data som du samlar in från ett formulär på samma sätt som du säkrar den data som du samlar in från din webbplats.

Vem blir påverkad av GDPR?

GDPR är ett EU-specifikt direktiv. Men dess tillämpning innebär att det i praktiken är en global reglering oavsett om du är baserad i USA eller någon annanstans samt bedriver försäljning till kunder i EU.
Om du lagrar, bearbetar eller på annat sätt använder och överför uppgifter om EU-medborgare så måste din verksamhet vara GDPR-kompatibel, oavsett var du befinner dig.

Vem är ansvarig för efterlevnad av GDPR inom ett företag?

GDPR definieras explicit av tre roller som du måste åtfölja för att säkerställa GDPR-efterlevnad.

  • Personuppgiftsansvariga måste definiera hur dina affärsprocesser gällande insamling av personuppgifter opererar samt hur du använder sådana data. Den personuppgiftsansvarige måste även säkerställa att eventuella externa entreprenörer du samarbetar med är GDPR-kompatibla.

 

  • Personuppgiftsbiträden kan vara en intern person eller grupp som underhåller och bearbetar data eller en partner såsom ett SaaS-företag som du använder dig av för datahantering. GDPR håller uttryckligen personuppgiftsbiträden ansvariga för dataintrång eller bristande GDPR-efterlevnad. Du måste vara medveten om efterlevnaden av GDPR processer för externa partner för om dessa skulle bli skyldiga till en överträdelse, så kan även du komma att straffas.

 

  • Databehandlingsofficerare (DPOs) bör utses för att hantera din datasäkerhetsstrategi och övervaka din GDPR-efterlevnad. Enligt GDPR så måste du ha en DPO om du uppfyller specifika villkor, men villkoren innebär i själva verket att alla företag behöver ha en sådan ansvarig närvarande.

Företag behöver inte nödvändigtvis anställa ytterligare medarbetare för att fylla dessa roller. En befintlig medarbetare kan utföra vilken funktion som helst, så länge dessa är medvetna om sina ansvarsområden. Det är dock vanligt att personer i ledande befattningar eller befintliga avdelningar, såsom jurister, tar på sig dessa ansvarsområden.

Vilka rättigheter har konsumenter och användare med GDPR?

GDPR anger uttryckligen åtta rättigheter som är applicerbara till alla användare i fråga om deras uppgifter. Om GDPR gäller för din verksamhet, baserat på de scenarier som beskrivits tidigare, måste du respektera och uppfylla dessa rättigheter som en del av att vara GDPR-kompabiliteten.

Hur verkställs GDPR, och vilka är påföljderna vid bristande efterlevnad?

Även om GDPR är ett EU-direktiv så hanteras verkställigheten av olika tillsynsmyndigheter runt om i världen. De flesta länder inom EU har nationella dataskyddsorgan, medan länder utanför EU samarbetar med EU för att säkerställa efterlevnaden.

Påföljder för bristande överensstämmelse är stegvisa, med endast upprepade eller allvarliga engångs överträdelser som sannolikt kan leda till maximala böter, vilka utgörs högs av:

● 4 % av den globala omsättningen.

● 24,4 miljoner dollar.

Även om ditt företag kan behöva investera betydande resurser för att säkerställa att du är GDPR-kompatibel så är det osannolikt att spendera resurser i närheten av vad du riskerar att få betala i straffavgifter vid bristande efterlevnad.

Sju bästa praxis för GDPR-efterlevnad för USA-baserade företag

Om du är ett USA-baserat företag som säljer varor till EU-individer så måste du vara GDPR-kompatibel. Eftersom lagstiftningen gällande dataskydd och tillämpning i USA knappast haft ett stort anseende så kan en adekvat implementering av GDPR i din verksamhet hjälpa dig att sticka ut från dina konkurrenter Följ de här sju bästa metoderna för att hjälpa dig att förbli GDPR-kompatibel:

1. Se till att din sekretesspolicy är uppdaterad

De flesta människor kommer aldrig att läsa den och du får hoppas själv att aldrig behöver läsa upp den i en domstol. Det är dock viktigt att hålla sekretesspolicyn uppdaterad. Du bör just därför se till att schemalägga regelbundna revisioner av dokumentet i fråga.

2. Genomföra grupputbildningar

Även om gruppmedlemmarna sällan arbetar direkt med den data som du samlar in från kunder eller webbplatsanvändare så måste du fortfarande se till att de är helt medvetna om GDPR och vad ni förväntas göra för att säkerställa en efterlevnad av den.

3. Ha en plan för dataintrång och se till att testa den!

Du testar regelbundet saker som dina brandlarm vilket innebär att du med jämna mellanrum behöver även testa dina planer vid eventuella dataintrång. Vem är ansvarig för att rapportera in ett dataintrång, vem måste de rapportera den till, och vem har ansvaret kommunicera ut informationen till de individer vars uppgifter har äventyrats?

4. Se till att dina ”datainventarier” är uppdaterade

Om du kan påvisa att du har uttryckligt gett din medgivande till att lagra och använda data, så bör det hela vara ganska enkelt. Om du förvarar säkerhetskopior av användardata så måste du även se till att du också tar itu med dessa om individer ber explicit begär att du raderar deras data. Du vill inte ådra dig en onödig straffavgift eftersom du råkade glömma att radera vissa delar av användardata vilka förvarats i en bortglömd säkerhetskopia, som du vid ett senare tillfälle varit tvungen att implementera!

5. Håll koll på din säkerhetsinfrastruktur

Det enklaste sättet att göra detta är att identifiera säkerhetsprogram och plattformar som är GDPR-kompatibla och använda dessa i din verksamhet.

6. Se till att eventuella partner är kompatibla

Kom ihåg, om du använder något som liknar en CRM-plattform för att lagra data, och tjänsteleverantören för närvarande varit eller ligger i strid med GDPR, så kommer du att hållas ansvarig och bötfällas om CRM-leverantören blir dömd. Se till att göra din hemläxa och säkerställ att det finns specificerat i kontraktet huruvida samarbetspartnern är GDPR-kompatibel eller ej.

7. Upprätthålla samma nivåer av dataskydd gällande överföring eller användning av uppgifter utanför EU

Detta kommer att vara ett stort bekymmer för alla amerikanska företag. Enligt GDPR så måste du upprätthålla samma dataskyddsnivåer för EU-medborgare även om uppgifterna i fråga kommer att överföras eller används utanför EU. Med detta i åtanke är det vettigt att följa GDPR över hela din verksamhet. Detta gäller speciellt om du har planer på att lagra data som samlats in från EU- och USA-kunder på en och samma plats.

Hur använder man LogPoint för GDPR-efterlevnad

LogPoint gör det enklare för ditt företag att uppfylla GDPR:s krav, vilket inbringar både dig och dina kunder en högre nivå av självförtroende i hur du lagrar och använder dig av användarnas personuppgifter. Vi kan hjälpa dig att lagra data, tillsammans med övervakning av nätverk och program, vilket säkerställer att du kan identifiera potentiella problem med dataintrång eller försök att komma åt dina data. Våra analyser gör också att din säkerhetsteam kan proaktivt övervaka alla potentiella problem, inklusive skapande och ändring av datafiler.

Kontakta LogPoint

Kontakta oss och ta reda på varför ledande varumärken väljer LogPoint:

Kom i kontakt med oss

Learn more about Logpoint

Boka en demo
Kundcase
Recensioner