Den 25 maj 2018 träder EU:s nya dataskyddsförordning, GDPR, i kraft. Den nya förordningen ersätter den nuvarande personuppgiftslagen, och syftar till att stärka skyddet för individens personuppgifter och att harmonisera lagstiftningen inom unionen. Hos SSG pågår ett arbete med att säkerställa att all personuppgiftsbehandling sker i enlighet med den nya förordningen.

– Självklart vill vi på SSG, som personuppgiftsansvariga, se till att hanteringen utförs i enlighet med den nya förordningen, säger Linn Folke, personuppgiftsombud på SSG.

Alla som på något sätt behandlar personuppgifter i sin verksamhet berörs av den nya dataskyddsförordningen, GDPR, som träder i kraft 25 maj 2018. Förordningen, som klubbades igenom 27 april förra året, har som syfte att stärka skyddet för personuppgifter och harmonisera lagstiftningen inom EU.

– Vi välkomnar GDPR, säger Linn Folke, personuppgiftsombud och tjänsteägare på SSG. Vi tycker att det är bra att skyddet för personuppgifter stärks. Identitetsstölder förekommer allt oftare och det är viktigt att de som hanterar personuppgifter i dag gör det på ett säkert och korrekt sätt.

SSG hanterar personuppgifter från sina kunder, uppgifter som är nödvändiga för att exempelvis kunna tilldela utbildningar och tillträde till rätt person.

– Självklart vill vi på SSG, som personuppgiftsansvariga, se till att hanteringen utförs i enlighet med den nya förordningen, säger Linn Folke. Vi har en hög medvetandegrad i organisationen gällande hanteringen av personuppgifter, vilket underlättar anpassningarna mot de nya kraven. 

Intern genomlysning

Hittills har den svenska personuppgiftslagen har varit utgångspunkten i arbetet med personuppgiftshantering, men arbetet pågår nu med att säkra att SSGs personuppgiftsbehandling är förenlig med GDPR. Arbetet innebär till en början en genomlysning av verksamheten, för att sedan ta fram en åtgärdsplan där förbättringar finns att göra.

– Vi har en plan som innehåller områden med aktiviteter som vi arbetar efter för att uppfylla kraven i förordningen, säger Linn Folke. Det gäller både mjuka värden som hur vår personal ska hantera personuppgifter, tekniska delar som hur våra system ska fungera och delar kring administration och avtal. Vi har en klar bild över vad vi ska göra och har stöd av både en extern konsult som är utbildad till dataskyddsombud samt av en sakkunnig jurist.

ISO 27001-certifiering även aktuell

Mycket av arbetet innebär ett förhållnings- och arbetssätt. Samtidigt som arbetet med GDPR fortskrider pågår ett arbete med att certifieras enligt ISO 27001, som är en standard för informationssäkerhet. Certifieringen kommer också att sätta sin prägel på verksamheten.

– Vi har bra hjälp av arbetet som görs kring ISO 27001-certifieringen, säger Linn Folke. I informationssäkerhetsarbetet identifieras och märks all information innehållande personuppgifter, vilket underlättar vår kartläggning av personuppgifter. Det känns bra att detta går hand i hand.

Linn Folke märker att frågan kring personuppgifter har aktualiserats i och med förordningen.

– Vid frågor eller funderingar, så får man gärna höra av sig till oss, avslutar Linn Folke.