EU:s nya dataskyddsförordning General Data Protection Regulation (förkortat till GDPR) som träder i kraft den 25.e maj 2018 innebär bland annat hårdare krav på hantering av personuppgifter. Det kommer att ställas krav på nya processer/rutiner för säker hantering av register som innehåller bland annat personuppgifter. Nya dataskyddsförordningen kommer att gälla för alla organisationer och branscher som sparar eller på något sätt hanterar personlig och känslig information om sina anställda eller sina kunder.
Enligt GDPR-direktivet är personuppgifter all information som är kopplad till en person såsom namn, foto, e-postadress, bankuppgifter, inlägg på sociala medier, platsinformation, medicinsk information och datorns IP-adress. Det görs ingen skillnad mellan personuppgifter om individen i hans eller hennes privata, offentliga eller professionella roll – personen ses som en och samma individ oavsett roll. Diskussioner pågår huruvida bokföringslagen ska stå över individens rätt att bli glömd.
Var ska jag börja?
Ni bör i första hand inventera och dokumentera vilka personuppgifter ni hanterar, hur de samlas in, i vilka system de registreras, av vem och hur dessa administreras och till vem uppgifterna lämnas ut.
Ni bör även se över era rutiner för att säkerställa att ni kan uppfylla alla rättigheter som de registrerade har enligt dataskyddsförordningen, som exempelvis hur ni raderar personuppgifter och hur ni lämnar ut uppgifter elektroniskt i ett allmänt använt format.
Ett utkast av de viktigaste rättigheterna för de registrerade är att:
- Få tillgång till sina personuppgifter
- Få felaktiga personuppgifter rättade
- Få sina personuppgifter raderade
- Invända mot att personuppgifterna används för direktmarknadsföring
- Invända mot att personuppgifter används för automatiserat beslutsfattande och profilering
- Flytta personuppgifterna (dataportabilitet)
Om ni redan idag tillmötesgår de registrerades rättigheter inom personuppgiftslagen (PUL) så bör övergången till den nya förordningen gå relativt smidigt. Om inte så är detta ett bra tillfälle att se över rutiner och fundera på hur ni ska hantera tex en begäran om rättelse från en registrerad. Ni kan även använda Microsofts egna bedömningsverktyg gällande GDPR, som ni finner här https://assessment.microsoft.com/gdpr-compliance
Ni kan även använda Microsofts egna bedömningsverktyg gällande GDPR, som ni finner här: https://assessment.microsoft.com/gdpr-compliance
Vad behöver jag beakta i mitt Microsoft NAV system?
IT-system i allmänhet kommer inte GDPR certifieras, det är alltid organisationen i sin helhet som måste uppfylla kraven enligt GDPR. Naturligtvis så kommer en stor del av de operativa delarna som ingår i GDPR verkställas i era IT-system. I Microsoft NAV sparas personuppgifter på olika platser i databasen. Microsoft har nu släppt den första versionen av GDPR stödjande åtgärder i NAV (Supporting Your EU GDPR Compliance Journey, Whitepaper). Som kompletteringar av redan existerande behörighets- och rollstrukturer så kommer personuppgiftshanterande fält nu även kunna markeras i databasen. Funktionen att markera dessa fält i databasen kommer i sin tur underlätta möjligheten att upptäcka, identifiera samt klassificera personliga data framöver.
Hör gärna av dig till oss för att få del av detta whitepaper som beskriver hur NAV kommer supportera din GDPR-resa, eller om du önskar hjälp med att inventera personuppgifter i ditt Microsoft NAV system.
Ansvarsfriskrivning: Innehållet i denna artikel ska inte betraktas som juridisk rådgivning och är endast avsedd för informationsändamål.