Under ett års tid har SSG genomfört ett omfattande internt arbete för att anpassa sig efter den nya dataskyddsförordningen GDPR, samtidigt som organisationen är i slutfasen av certifieringen för ISO 27001 för att identifiera och minimera verksamhetens säkerhetsrisker. Hittills är det endast ett fåtal svenska företag som har genomgått denna certifiering, vilket i och med den ökade digitaliseringen stärker SSG i rollen som en så kallad ”trusted third party”.

Från och med 25 maj i år ersätter EU:s dataskyddsförordning GDPR – General Data Protection Regulation – den gamla personuppgiftslagen PUL. För alla myndigheter, företag och organisationer kommer de nya reglerna för hantering av persondata att betyda en hel del förändringar.

– En drivande faktor är hotet om sanktioner och skadestånd om man inte efterlever GDPR. Personuppgiftslagen har tidigare anklagats för att vara tandlös. Så väntas det inte bli med GDPR, säger Fredrik Jonasson, extern konsult från IT-säkerhetsbolaget, som hjälpt SSG med anpassningen till GDPR och certifieringen enligt ISO 27001.

Om ett företag brister i sin behandling av personuppgifter kan det inom EU tvingas betala en så kallad administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av deras globala omsättning.

– Syftet är att förstärka medborgarnas rättigheter med ökade krav på att företag och andra organisationer ska informera om hur de hanterar uppgifterna, vilka uppgifter de hanterar och varför. Samtidigt skapas en harmonisering mellan EU:s medlemsstater, säger Fredrik Jonasson.

Det ska också gå att under vissa omständigheter säga nej till att personuppgifterna används.

– Genom GDPR säkerställs att personuppgifterna för individer, kunder och egna anställda hanteras på ett säkert sätt enligt lag. Företagen måste själva känna till sina data och de system som hanterar informationen. De måste också vara tydliga med vilka data de samlar in och för vilket syfte, säger Fredrik Jonasson.

Många av GDPR:s krav finns dock redan sedan tidigare reglerade via PUL. I vissa fall innebär dock GDPR en uppdatering och skärpning.

Genomgripande GDPR-arbete i SSG

Under det senaste året har SSG gjort ett djupgående arbete för att anpassa sig efter den nya lagstiftningen.

– Vi har gått igenom alla processer, rutiner och tjänster, där vi hanterar och behandlar personuppgifter. Vi började med SSG Entre, som är vår största tjänst. Vi har tittat igenom alla avtal och all information som vi ger till kunder kring behandlingen av personuppgifter. Vi har säkerställt att alla våra leverantörer i sin tur uppfyller de krav som ställs via GDPR. Bland annat är vi liksom alla andra företag skyldiga att upprätta ett fullständigt register över behandlingen av våra personuppgifter i alla våra databaser och tjänster, säger Linn Folke, som är personuppgiftsombud på SSG, och fortsätter:

– Många har blivit involverade under detta arbete och vi har vid två olika tillfällen utbildat all personal. Vi har dessutom, enligt den nya lagen, identifierat och utsett personuppgiftsbiträden och personuppgiftsansvariga, vilka är juridiska personer, och vi kommer att utse ett personligt dataskyddsombud.

Effekt för kunderna

Kunderna kommer inte att märka så mycket av SSGs GDPR-anpassning.

– De får en annan information, som är justerad enligt den nya lagstiftningen, när de registrerar sig till våra tjänster. Om de ber om ett registerutdrag, så kommer de också att kunna få det, säger Linn Folke.

Personuppgifterna kommer också raderas efter en viss tid.

– Du får, enligt den nya lagen, inte samla på dig onödig personinformation. Vi får bara lagra de uppgifter vi behöver och personuppgifterna får inte lagras längre än vad vi har laglig grund för, säger Linn Folke och konstaterar:

– GDPR är superbra och den medför nu att alla städar i sina register. Personuppgifterna är en värdehandling, som människor tillfälligt har lämnat över till oss.

SSG nära certifiering enligt ISO 27001

Parallellt med GDPR har SSG även genomfört ett certifieringsarbete för ISO 27001 i syfte att förbättra informationssäkerheten genom att identifiera och minimera verksamhetens säkerhets- och informationsrisker. ISO 27001 hjälper till att skydda informationstillgångarna och bidrar till ökad sekretess, integritet och tillgänglighet.

– I Sverige finns det idag bara ett 70-tal företag, som är certifierade enligt ISO27001. GDPR reglerar hur organisationer arbetar med personuppgifter och har krav utanför det som certifieras inom ISO 27001. Men standarden och lagen har många likheter i kraven på åtgärder. Det är ett otroligt kraftfullt verktyg, som visar på att SSG är granskat utifrån hur organisationen hanterar den samlade informationen, inklusive personuppgifter. Med certifieringen har SSG därmed gått ett steg längre än att bara GDPR-anpassa sig, säger Fredrik Jonasson.

Trusted third party

För SSG är GDPR-anpassningen och certifieringen enligt ISO 27001 extra strategiskt viktiga, eftersom ett av företagets långsiktiga mål är att vara en ”trusted third party” i samband med insamling och hantering av kundernas dataflöden.

– Vi har velat visa att SSG verkligen är en förtroendefull partner, som kunderna kan lita på när det gäller hanteringen av deras information. Vi vill fortsätta bygga på det grundmurade förtroende SSG redan har när det gäller att kunna samarbeta mellan konkurrenter och över branscher. De ska känna och veta att den information de delger SSG är säker och att vi har ett strukturerat arbete för hanteringen av denna, slutar Fredrik Jonasson.