“Vi måste fixa läckan först, sedan kan vi informera” kan låta logiskt i stunden. Men GDPR ställer tydliga krav: alla berörda ska informeras vid ett dataintrång, om det finns risk för id-stöld eller bedrägeri. I GDPR-skolans femte del går vi igenom de nya reglerna och vad du ska tänka på. Häng på!

Vad säger GDPR?

När GDPR börjar gälla i maj 2018 har privatpersoner (även i egenskap av anställda) rätten att bli informerade om det skett ett dataintrång som kan äventyra deras personuppgifter. Incidenten ska också rapporteras till Datainspektionen inom 72 timmar.

Läs mer om grunderna i GDPR här

Vad ska du som företagare göra?

Det lagen säger rent konkret är alltså att ditt företag måste informera berörda personer om ni misstänker att deras personuppgifter har kommit i orätta händer och det finns risk för id-stöld eller bedrägeri. Det är för att varje person ska kunna gå in och byta lösenord eller vidta andra åtgärder, beroende på hur situationen ser ut. Ni måste också dokumentera personuppgiftsincidenten och anmäla den till Datainspektionen inom 72 timmar.

Eftersom det finns en uttalad tidsram och krav på dokumentation behöver du och kollegorna ha en genomtänkt process för hur ni går tillväga vid ett intrång eller en läcka. Vad ska göras? Och av vem? Har ni inte det kommer de där 72 timmarna rinna iväg kvickare än kvickt! Så tänk igenom före och följ sedan de satta rutinerna vid en incident – då har ditt företag i princip uppfyllt kraven i GDPR.

Effekter på IT-arbete och kriskommunikation

Vid tidigare dataintrång har företag kunnat strunta i att informera om dem, med förklaringen att de först ville stänga säkerhetshålet “så att ingen kunde öppna det igen”. Men det har varit tvetydigt: Kan man vänta hur länge som helst? Ska inte de utsatta få chansen att vidta egna åtgärder?

Därför är GDPR tydligare med vad som gäller framöver och ger ökad makt åt privatpersoner. Företag måste ha rutiner för IT-incidenter och ha en förberedd “kriskommunikation”, så att individerna som har blivit blottade kan vidta någon form av åtgärd. Och det är det som är det fina i högen av krav: genom att följa GDPR ger ditt företag mer handlingskraft åt personer runt omkring er och bygger förtroende genom att vara transparenta. Glöm inte det!

Notera: Vi på Lime må kunna mycket om GDPR, men vi är i första hand CRM-experter och inga jurister (och har inga planer på att bli det inom en snar framtid heller!). Våra inlägg om GDPR är därför inte någon juridisk rådgivning. Se dem istället som information och inspiration till att köra igång arbetet med GDPR – du och ditt företag måste på egen hand sätta er in ordentligt i de olika frågorna och ta juridisk hjälp vid behov. Lycka till!


Läs resterande delar av vår GDPR-skola här!

Del 1: Prospekt* kan be dig radera eller “låsa” uppgifter.

Del 2: Förbered dig på att överlåta uppgifter till konkurrenter.

Del 3: Ingen reklam, tack – fråga först, samla sen.

Del 4: Dina kontakter kan kräva insyn och korrigeringar.

Del 5: Dataintrång hos dig = öppenhet mot alla berörda.


 

Vill du inte läsa alla inlägg på en gång? Anmäl dig till vår GDPR-skola!
Är GDPR fyra bokstäver du känner igen? Och kanske rentav något du skjuter framför dig, för att det känns så jobbigt? Frukta icke – Anmäl dig till vår GDPR-skola!

Anmäl dig här nu!