Det är dags att vi tar hand om vår data och förvaltar våra kunders personliga integritet!

GDPR - General Data Protection Regulation

Alla företag på ett eller annat sätt kommer att påverkas av den nya dataskyddslagen som träder i kraft den 25 maj 2018.

Men vad innebär GDPR för er företagare och vad är det som måste säkerhetsställas i ert processflöde?

GDPR- Den nya dataskyddsförordningen som träder i kraft den 25 maj 2018

Det är dags att vi tar hand om vår data och förvaltar våra kunders personliga integritet, som ger besökarna rätt att veta vilken typ av personuppgifter lagras och på vilket sätt den lagras,besökare/kunder har även rätt till att få den sortens data raderad. GDPR kommer efter engelskans General Data Protection Regulation, som är en förordning med syftet att stärka och värna om den personliga integriteten vid behandling av personuppgifter inom Europeiska unionen. Till skillnad från tidigare lagstiftning kan brott mot lagen innebära sanktionsavgift på upp till 20M Euro eller 4% av bolagets totala omsättning. Därför är Strategiarbetetet kring GDPR och hur man ska tillämpa och anamma processen för att säkerhetsställa att lagstiftningen verkligen efterföljs i sin verksamhet men också för era egna leverantörer.

Lagen bygger på

 • Man får inte samla på sig mer personuppgifter än vad som är nödvändigt. Vissa uppgifter är du dock skyldig att sparar om det gäller exempelvis: redovisningsunderlag inför bokföring till myndigheter.
 • De ska vara korrekta i annat fall skall de raderas.
 • Man får bara samla in data för bestämt ändamål i förväg.
 • Användarna har rätt att veta vilken typ av uppgifter som sparats och hur man hanterar uppgifterna.
 • Användaren har rätt att begära dessa uppgifter raderas. Rätten till att ”Glömmas bort”.
 • Det måste finnas någon form av dokumentation för hur ni hanterar personuppgifter, hur datan lagras och hur man använder datan som samlas in.
 • Alla leverantörer ni samarbetar med måste följa GDPR. Detta innebär att ni måste gemensamt skriva ett personuppgiftsbiträdesavtal med varje leverantör som är inblandad i er verksamhet.
 • Sker det dataintrång eller läckta lösenord på bolaget måste en sådan incident rapporteras till dataskyddsinspektionen. 

Vilken typ av personuppgifter innefattar GDPR?

Alla de uppgifter som du samlar in som på ett eller annat sätt kan identifiera en kund kan man betrakta som personuppgifter. Ibland lagrar man uppgifter som är pga. Lagliga skäl ex. patient/hälsodata, anställningsavtal, reklamation och kvitto för bokföringen. Även uppgifter som lagras via ett crm-system, epost/leads listor faller också inom denna kategori.

Exempel på personuppgifter:

 • Personnummer
 • Namn
 • Foto
 • Lokalisering
 • Ort
 • Antal barn
 • IP-adress
 • Facklig tillhörighet
 • Etnicitet och ursprung
 • Hälsodata
 • Brottshistorik                                 mm

För känsligare uppgifter krävs det att man har ett särskilt samtycke med individen och att man tillämpar högre säkerhet kring den datan för att kunna säkerhetsställa den personliga integriteten.

GDPR är et krav och måste implementeras på alla företag!

GDPR är inte ett arbete som man implementerar på företaget som någon quick fix utan mer ett nytt tankesätt och arbetssätt för alla företagare och medarbetare. Ansvaret för att skydda alla medborgares personliga integritet. Där du som företagare bör:

 1. Dokumentera- processen kring GDPR på företaget, ett arbetssätt man ska jobba med kontinuerligt i verksamheten.
 2. kommunicera hur du samlar data om dina besökare/kunder. 
 3. Numera krävs det att företag utformar någon form av samtycke för kunder/besökare innan du kan samla data.
 4. Skydda medborgares rättigheter med rätten att bli glömd.
 5. Teckna ett personuppgiftsbiträdesavtal för era leverantörer och samarbetspartners som har tillgång till de personuppgifter du lagrar.
 6. Informationen ska vara tydlig och läsbar och kommuniceras ut till era kunder.               

Det som måste göras är:

Dokumentation, En viktig beståndsdel i arbete kring GDPR för företag är att ni måste dokumentera ert arbete kring GDPR. Ett dokument som belyser vad du använder datan till, vetskapen om vart du har lagrat det, vem det är som ska ha tillgång till det och hur du på ett säkert sätt hanterar data runt dessa punkter. All data måste gås igenom tom. gamla avdankade listor från Excell som man en gång sparat längst ner i byrålådan. All information bör dokumenteras. Processen skall också informeras internt och eventuella avtal med leverantörer bör upprättas.

Rutiner och Policy

Nya rutiner och policys måste skapas för företag men även styrdokument inhouse, som ska arkiveras. Olika delar i en sådan policy kan bestå av följande:

 • Vad är persondata?
 • Vad får vi göra med persondata? Dos and Donts
 • Vem är det som är ansvarig för att vi kan hålla en hög säkerhet inom bolaget och våra leverantörer.
 • Kunders rättigheter
 • Samtycke, vad innebär det och hur ska vi använda det i vår verksamhet på webben och IRL.
 • Personuppgiftsincidenter, vad gör vi och hur går vi tillväga? Internt och utanför
 • Sekretess och behörigheter
 • Hur vi rent tekniskt gör är en kund vill bli raderad i våra register?
 • Rutiner för att lämna ut information. Någon form av access ID-lösning eller via mina sidor. Dokumenterad process för hur sådant görs och vem som skall göra det? Hur gör vi när personen i fråga begär ut samlad data? Dokumentation som ska tas fram inom rimlig tid a 30 dagar. Det gäller även data som leverantörer får genom din verksamhet mm. Den personuppgiftsansvariga är skyldiga att detta sköts och raderas på alla enheter/kommunikationsvägar att det raderas.
 • Hur verksamheten jobbar med marketing automation och hur man använder den data som lagras för ert förutbestämda syfte.

CRM-System, Ett register över ett register sk. CRM-system som innefattar uppgifter om dina kunder. Där du som företag måste dokumentera hur du hanterar uppgifter, lagrar och använder den sortens av information. 

Cookies, en lagförändring i sig där man inte riktigt bestämt hur den kommer se ut ännu. Men det måste finnas information hur den hanteras och till vilket syfte. Se till att uppdatera era allmänna villkor på webben och gör det tydligt och lättläst för besökarna.

Dataläckor måste anmälas till datainspektionen. Dataläckor som ex. lösenord på vift, intrång på olika konnton mm.

Definiera din anmälan:

–        Vem är den läckta källan?

–        Hur företaget påverkas och vilka andra personer som påverkas i denna läcka?

–        Information hur läckan uppdagades?

–        Vilka åtgärder som har vidtagits?

–        Information om ansvariga?

Sekretessinformation

Det GDPR kräver att företag måste bli mer tydliga i sin kommunikation till sina besökare hur man använder sig av data och vad man samlar in. . Är det ex ”Vi spårar vår webbplats för att vi ska kunna utveckla våra produkter och hemsida till en bättre upplevelse”, texten som formuleras på hemsidan ska vara enkel och läsbar.  Använda ett språk som målgruppen kan ta till sig enkelt. Vilket innebär att enkla varningar kring cookies och spårning på webbplatser kommer inte vara tillräckliga så som de ser ut idag. Besökaren ska enkelt kunna samtycka eller avböja möjligheten för spårning på hemsidan.

Samtycke

I GDPR så måste all insamling av personuppgifter måste besökarna ge ett samtycke till att ma samlar in data.

Det samtycket kan vara ett aktivt samtycke som man måste trycka ja på, en sk. checkbox får absolut inte vara för ifylld. Med andra ord skall kunden kunna genomföra ett köp utan att du tvingar kunde välja sign up för e-mail exempelvis. Kunden måste få möjlighet att tacka nej till cookies på hemsidan, om man som kund aktivt valt nej  så ska man inte heller spåra besökarens IP-adress.

Kopplingen med att man anmäler sig till en kundklubb får inte automatiskt generera att kunden skriver upp sig på ett nyhetsbrev.

Exempel: Det kommer inte längre vara lagligt att begära ett samtycke från kunden när du vill ge bort en pdf eller whitepaper som det så fint kallas i utbyte mot en e-mailadress som senare visar sig vara någon form av prenumeration av nyhetsbrev. Det finns olika metoder för att komma runt detta. Säg att du säljer ett whitepaper eller ett webinar som kostar 0:- där det ingår en prenumeration på nyhetsbrev om man signar upp sig och som kunde då givetvis fått samtycka till så ska detta vara okej men du får inte sälja whitepapers genom att fiska efter e-mailadresser.

Vi marknadsförare får byta tankesätt och tänka att aktiviteten ska symbolisera någon form av transaktion. En viktig puck som vi skall ha i åtanke när det kommer till att producera innehåll i sociala medier och på webben.

Samtycket skall också kunna bevisas i from av loggar eller annan dokumentation. En dokumentation som beskriver hur samtycket gavs via webbplats eller formulär osv. Vilken typ av information de fick och vilken form av samtycke som kunden gick med på. Samtycke som har lämnats skall vara lika enkelt att återkalla.

Regler

Jag har rätt som kund att få tillgång till alla mina uppgifter. Men då måste du som företagare kunna säkerhetsställa identiteten innan du som personuppgiftsansvarig lämnar ut någon form av känsliga uppgifter. För att lösa detta så kan man verifiera sig under Mina sidor, Bank-ID lösning eller be kunden besöka er direkt. Man bör implementera en strategi för hur man ska hantera dessa frågor.

Men det finns vissa undantag

Personuppgifter som får lagras utan samtycke och är under myndighetskrav då får man alltså samla in data. ex. bokföringsskyldigheter, företagsevent, avtal där företag måste registrera personuppgifter på de anställda. Med mera.

Intresseavvägning 

Direktreklam skall företagen inte behöva ett samtycke. Den enkla anledningen till att företag skall kunna marknadsföra sig och sina tjänster för att nyttja dom i sin kundbearbetning.

___________________________________________________________________

 Följ dessa enkla steg och sätt igång med ditt GDPR arbete redan nu

Källor:

General Data Protection Regulation – Final legal text of the EU GDPR.

https://gdpr-info.eu/

http://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/dataskyddsdagen/

Grundläggande kunskap om GDPR från dataskyddsinpektionen:

http://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/dataskyddsdagen/

Muntliga källor:

Emelie Terlinder på Insatt

www.insatt.se