Dataskyddsförordningen, GDPR, gäller från 25 maj 2018. På den här sidan har vi samlat sådant som gäller Byråstöd och GDPR, vad du ska tänka på för att uppfylla de krav som de nya reglerna ställer och vilka programfunktioner du kan använda dig av i ditt arbete med GDPR.

Vad är GDPR?

EU har beslutat om en dataskyddsförordning (GDPR) som gäller behandling av personuppgifter. GDPR står för General Data Protection Regulation. Förordningen är en vidareutveckling av personuppgiftslagen (PUL) som gällt tidigare. GDPR ställer bland annat större krav på dokumentation och information från dem som hanterar personuppgifter. Förordningen tillämpas från och med 25 maj 2018.

Syftet med GDPR är att säkerställa och harmonisera skyddet för fysiska personers personuppgifter. Fysiska personer ska få större kontroll över sina personuppgifter samtidigt som företag bara behöver förhålla sig till ett enda regelverk när de bedriver verksamhet i flera EU-länder.

GDPR gäller för samtliga företag/myndigheter/föreningar och i vissa fall även privatpersoner som har verksamhet i ett EU-land eller med individer som befinner sig i ett EU-land. Den gäller all personuppgiftsbehandling i systematisk form, i princip all form av elektronisk hantering av personuppgifter, inklusive register, databaser och löpande text. Den kan även gälla viss manuell hantering, t ex register man har på papper.

På vår sida Integritet & säkerhet har vi samlat all information om vår syn på integritet och vårt integritetsarbete. Här finns även fakta och verktyg som du har nytta av i ditt GDPR-arbete.

Personuppgiftsbiträdesavtal

GDPR gäller för den personuppgiftsansvarige, dvs den som hanterar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till. Den gäller även för den som är personuppgiftsbiträde, dvs den som hanterar personuppgifter för den personuppgiftsansvariges räkning, t ex en leverantör av en IT-tjänst.

Både en personuppgiftsansvarig och ett personuppgiftsbiträde har alltså ansvar för att GDPR följs. Båda måste t ex föra register över behandling och ha ett eget ansvar för säkerhet. Använder du någon annan för att behandla dina personuppgifter så är du tvungen att ha ett skriftligt personuppgiftsbiträdesavtal med denne, tillsammans med en instruktion om hur biträdet får behandla de personuppgifter som du är ansvarig för.

Genom att du använder Byråstöd är vi som leverantör av programmet ett personuppgiftsbiträde för dig, dels genom att vi lagrar er data om ni använder någon av våra molntjänster, dels genom att vi agerar som biträde om vi fjärrstyr er dator eller tar in filer från er för åtgärd i vår support. Detta innebär att du behöver ha ett personuppgiftsbiträdesavtal med oss. Vi erbjuder ett färdigt sådant biträdesavtal med tillhörande information. Vi rekommenderar att ni som personuppgiftsansvariga skriver ett avtal med oss på sådant sätt.

Personuppgifter

Vad räknas då som personuppgifter? Jo, en personuppgift är något som ensamt eller i kombination med andra uppgifter kan peka ut en unik nu levande person. Ett bra exempel är ett personnummer som helt ensamt kan peka ut en viss person.

Ett namn är i sig själv troligen inte en personuppgift eftersom det kan finnas flera personer med samma namn. Kombinerar man däremot namnet med en adress och postort så är det högst troligt en personuppgift eftersom namnet och adressen pekar på en viss person.

Längre ned listas de personuppgifter som förekommer i respektive del av programmet.

Känsliga personuppgifter

Vissa kategorier av personuppgifter anses vara känsliga personuppgifter. Det gäller uppgift om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, uppgifter om en fysisk persons sexualliv eller sexuella läggning, genetiska uppgifter, biometriska uppgifter samt uppgifter om hälsa. Här gäller ännu mer restriktiva regler.

Vi bedömer att det i dagsläget inte finns fält för inmatning där det kan bli aktuellt med känsliga personuppgifter i Byråstöd.

Personuppgifter i programmet

I Byråstöd förekommer på många ställen fält som avses innehålla personuppgifter. Dessutom finns på flera ställen (basuppgifter, bilagor, noter etc.) fria anteckningsfält där du kan ha sparat personuppgifter. Samtliga dessa register omfattas av GDPR och måste följa de krav reglerna ställer. Nedan listas de fält i respektive programdel som är avsedda för personuppgifter:

• Klientkortet– Nås via fliken Klienter och genom att klicka på knappen Ny klient eller klicka på en klient i listan. På klientkortet finns fält för inmatning av följande personuppgifter:
  • Generella personuppgifter, exempelvis namn, telefonnummer, adress och e-postadress.
  • Ytterligare personuppgifter såsom land.
  • Identitetspersonuppgifter i form av personnummer/organisationsnummer.
  • Ekonomiska personuppgifter, exempelvis aktieinformation.
• Medarbetare – Nås via Byråinställningar (kugghjulet i högra hörnet) och fliken Medarbetare. Här finns fält för generella personuppgifter, såsom namn och e-postadress. Här finns även IT-relaterade personuppgifter i form av sina medarbetares behörighet och åtkomst.

Exportera personuppgifter

Enligt GDPR ska det vara möjligt att exportera personuppgifter enligt kraven på dataportabilitet och möjligheten att få ut ett registerutdrag. Båda dessa krav tillgodoses i Byråstöd av funktionen Exportera personuppgifter.

Dataportabilitet

Dataportabilitet innebär att exempelvis en kund som lämnat sina personuppgifter till ett företag har rätt att få ut sina personuppgifter i elektronisk form och använda uppgifterna på annat håll. Ett företag som tagit emot personuppgifterna är skyldigt att underlätta en sådan överflyttning av personuppgifter på ett strukturerat sätt.

Registerutdrag

Ett registerutdrag ska alltid lämnas skriftligen och ska innehålla information om vilka uppgifter om den sökande som behandlas i form av ett utdrag med alla de personuppgifter som rör personen som sökt registerutdrag, varifrån dessa uppgifter kommer, vad som är ändamålet med behandlingen och till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut. Ifrån programmet kan du få ut personuppgifterna för den aktuella personen, men förutom det behöver du alltså komplettera uppgifterna med dokumentation om ändamålet mm, eftersom dessa uppgifter inte framgår i Byråstöd på något sätt.

Det är upp till dig som personuppgiftsbehandlare att säkerställa att det är rätt person som ber om uppgifterna, dvs någon form av verifiering eller identifiering av att det faktiskt är den personen som uppgifterna avser som också efterfrågat dem. Det kan ske exempelvis genom legitimation, inloggning med hjälp av BankID eller annan inloggad tjänst hos företaget.

Radera personuppgifter

Enligt GDPR får personuppgifter inte sparas, det vill säga förvaras i en form som möjliggör identifiering av den registrerade, under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.

När personuppgifterna inte längre behövs för de ändamålen ska de raderas eller avidentifieras. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den som behandlar personuppgifter införa tidsfrister och rutiner för radering eller avidentifiering.

Man har bara laglig rätt att behandla personuppgifter om man har en så kallad rättslig grund. De fyra olika grunder som man normalt kommer att använda sig av är samtycke, avtal, rättslig förpliktelse eller intresseavvägning. Samtycke är ett sätt att hämta ett uttryckligt godkännande från kunden. Avtal ger dig rätt att behandla personuppgifter för att kunna uppfylla det ni ingått avtal om. Rättslig förpliktelse är t ex att man är tvungen att spara bokföringsunderlag i 7 år enligt bokföringslagen eller att man är tvungen att skicka in en inkomstdeklaration till Skatteverket. Intresseavvägning innebär att du anser att ditt intresse av att behandla uppgiften väger tyngre än den registrerades rätt till att inte bli behandlad, det kan t ex vara ifråga om direktreklam.

Avidentifiering av uppgifter

I programmet kan det bli aktuellt att avidentifiera personuppgifter. Detta eftersom det inte går att ta bort klienter så länge det finns historik sparade på dem.

Det finns ingen inbyggd funktionalitet för avidentifiering av poster, utan detta får göras manuellt. Du kan använda dig av funktionen Exportera Personuppgifter (se ovan) och där söka fram de poster som ska avidentifieras. Därefter letar du upp respektive post i registren och tar bort personuppgifterna. Du kan om du vill ersätta personuppgifterna med något som anger att posten avidentifierats, exempelvis XXX eller något annat du själv väljer. De register som innehåller personuppgifter finns presenterade ovan.

Säkerhet

Sedan tidigare har vi ett starkt skydd för dig som arbetar i molnet, med krypterad inloggning och trafik. Varje databas i molnet är skyddad med unika inloggningsuppgifter som gör att man inte kan komma åt någon annans data av misstag. Servrarna skyddas och övervakas dygnet runt.

För att skydda dina personuppgifter har vi ytterligare förstärkt skyddet genom både organisatoriska och tekniska åtgärder samt information:

• Vi har ändrat och förbättrat våra interna rutiner så att dina inloggningsuppgifter till molnet skyddas på ett bättre sätt.
• BL ändrar sina lagringspolicys för hur länge kundfiler kan lagras hos BL i samband med support, felsökning och konverteringshjälp.
• I vissa fall när känsliga uppgifter ska skickas mellan BL och kund så kan det krävas BankID-inloggning för att kunna ta del av dessa.
• Vi har utökat skyddet för våra molndatabaser genom att aktivt söka efter kända sårbarheter via ett speciellt verktyg.
• Backup-rutiner har gåtts igenom och i vissa delar förstärkts.