Fokusprojekt

GDPR

Future by Lund

Innovationer för framtidens
smarta & hållbara städer

§ 7

Så funkar GPDR för ett företag inom IoT

Ett strukturerat sätt att samla data, tydliga definitioner om vilka roller det finns ett GDPR-ekosystem och en glasklar ansvarsfördelning för vem som ansvarar för personuppgifterna på olika nivåer. Det är IoT-specialisten Mats Petterssons råd för att säkra på de stora mängder personuppgifter som skapas i ett allt mer digitaliserat samhälle.

Mats Pettersson är VD och grundare för Sensative, ettföretag som jobbar med IoT-teknik för smarta städer, fastigheter, hem och trafik. Sensative är också med i både GDPR-projektet och i ett stort digitaliserings projekt rörande IoT med Future by Lund. Genom användningen avIoT, uppkopplade prylar som skickar data i ett nätverk, skapas stora datamängder som också kan användas för att skapa tjänster. Det som Sensative bland annat gör är en dataplattform, Yggio, som kan användas i fastigheter, stad, industrier och sjukvård – och som dessutom kan nyttjas för att koppla ihop alla dessa miljöer. Eftersom data som kan vara personuppgifter samlas in i olika miljöer, till exempel i en lägenhet, sedan kan kopplas ihop till att bli uppgifter om en fastighet eller om en stad gäller det för Sensative att ha en bra plan för att säkerställa att personuppgifterna säkras och hanteras lagenligt på många olika nivåer. ‑ På Sensative började vi utveckla vår tekniska lösning innan GDPR infördes men ändå var rätt känt, vilket var en fördel för oss, menar Mats Pettersson. Vi ser till att hantera dataflöden enligt GDPR från start.Skötsel av fastigheter kan vara ett exempel som visar vadman ska tänka på i samband med GDPR. I samma fastighet kan finnas flera leverantörer av tjänster. När tjänsterna ska effektiveras genom digitalisering kan antingen fastighetsägaren låta leverantörerna dela de insamlade uppgifterna mellan sig, ta in en helt ny tjänsteleverantör som gör allt eller använda sig av ett tredje alternativ som kan sägas vara ett mellanting. Det är den tredje typen av lösning som Sensative står för, och deras plattform Yggio stoppas in mellan tekniken som samlar data och tjänsteleverantören. Sensative vill i sin tjänst skapa en delningsekonomi där många kan använda uppgifter om fastigheten– men för att det ska gå krävs såklart noggrant uttänkta strategier.

Några exempel på hur Sensative har strukturerat arbetet.
Vid import och export av data har alla leverantörer ansvar för sin egen data. När uppgifterna går över till en ny nivå är det den som sammanför uppgifterna i ett nytt sammanhang som har ansvaret för att GDPR efterlevs. Den sammankopplade uppgifterna skulle ju kunna upphov till nya personuppgifter, trots att de är ok på nivån innan. GDPR innebär nya roller på företaget, som personuppgiftsansvarig, personuppgiftsbiträde och dataskyddsombud. Det gäller att fundera över hur rollerna är väsentliga på företaget – men också vem som ska hantera uppgifterna när de kopplas ihop med data från andra parter. Sensative har i sin plattform byggt in en lösning för vem som ansvarar för vad. De insamlade uppgifterna har två sidor – å ena sidan är de information som man kan tjäna pengar på, å andra sidan är de en kostnad för att lagra och säkra upp. Det gäller att inte lagra data slentrianmässigt utan man ska lagra data där risken är liten ut GDPR-synpunkt och där nyttan kan vara stor. Fundera på vem som är vem. Vem är producent av data - det är den grundläggande ägaren. Vem är det som är konsumenten, den som vill använda uppgifterna till sin tjänst? En plattform som Yggio är som en mäklare som märker upp vem som äger och förvarar data.

Bästa råden till startupen som ska jobba med digitalisering
Fundera på och ta ett affärsmässigt beslut på varje data som ska sparas och skickas vidare. Se till att ha ett godkännande av dataproducenten för detta. Var väldigt tydligt i kommunikationen med producenten hur uppgifterna används och hur producenten själv kan styra hur uppgifterna kan användas. Ha ett bra tänk och fungerande system för hur data ska sparas. Det blir lätt slentrianmässigt. Tänk också på om och hur uppgifterna ska sparas i framtiden, till exempel om en fastighet byter ägare. Data har alltid två sidor – det kan vara en intäkt men är alltid en kostnad. Tänk på vad du behöver och varför. Tänk på hur uppgifterna kan användas om de kopplas med andra datamängder. Hitta din roll i ett GDPR-ekosystemet. Är du producent, konsument eller mäklare? Om man är osäker på om man har rätt att hantera uppgifterna är det bättre att säkra upp och ha ett tydligt avtal med dataägaren att det är ok att använda dess data.

§ 6

Osäkerhet bland startupföretag

Emily Svensson driver startup-företaget MLI by Svensson - ett företag med egen design av kläder. En av grundtankarna är att alla led av produktionen ska vara etiskt försvarbara, vilket gör att Emilys ambition att även följa den nya GDPR-lagen är väldigt hög. Men hur skaffar sig en liten startup tillräckligt med kunskaper för att kunna säkra kundernas personuppgifter?

Foto: Markus Kinnunen

Emily Svensson är kläddesigner med eget märke och har arbetat från och till med idén under tio års tid. Under våren 2018 hade hon kommit så långt att hon satsade som startup och deltog i acceleratorn The Creative Tour. Ambitionen har bland annat varit att starta en webbshop med försäljning av den egna designen.

Eftersom Emilys affärsidé bygger på att hon ska följa etiska regler i varje del av produktionen av plaggen är det speciellt viktigt för henne att också följa etiska reglerna i hur hon behandlar sina kunder och partners.

- Jag stod i startblocken precis runt den 25 maj 2018 och folk pratade om GDPR ungefär som om millennieskiftet – ingen visste vad som skulle hända och det fanns en känsla av panik. Jag var i princip igång men fick rådet att bromsa för att kunna iaktta hur de stora bolagen gjorde. Mail med olika råd välde in.

Emily läste den nya Dataskyddsförordningen för att skaffa kunskap och undersökte alla de olika publikationer och råd som kom via mail och andra medier.

- Lagen är svår för en startup att ta till sig. Det känns luddigt och det finns möjligheter för tolkningar. Har man frågor finns det ingen som kan svara. I den konkreta situationen eller tillämpningen blev det   väldigt osäkert och det finns få konkreta råd.

Ett annat sätt för Emily att lösa GDPR-problematiken har varit att försöka följa branschen. De stora företagen kan anställa en personuppgiftsansvarig, vilket ett litet företag inte kan. De måste göra allt själva. Emily uppfatta att många andra startups därför viftar bort GDPR som att det inte är så allvarligt. Emily sökte även hjälp via den webbhost där hon har sin hemsida, men det kunde framförallt ge teknisk hjälp och allmän information.

Det här tror Emily Svensson skulle kunna hjälpa startups och mindre företag att efterleva GDPR:

• Att det fanns någon på samhällsnivå att prata mer specifikt med angående GDPR-lösningar i små företag. Det som nu finns att tillgå är mest generell information.

• Det här skulle kunna kompletteras med en möjlighet i startupsystemen att ställa frågor till en kunnig person. Om man kommer fram till att startupföretaget saknar något för att följa lagen behövs möjlighet till konkret hjälp med att lösa problemet.

• Att någon som är expert på juridik kan granska de steg som företaget tar. Till exempel hade det varit bra att veta vad som krävs av ett samtycke. Vad måste juridiskt sett innehålla och räcker det med en knapptryckning för att godkänna?

• Säkerställa kontakt med en tekniker att prata med och gå igenom lösningarna. Den webbleverantör som hostar hemsidan skulle behöva både säkerställa så att kunden vet hur det fungerar och ge kunden hjälp att säkra personuppgifterna. Det här borde vara mer handgripligt och det borde finnas något av en panikknapp om något händer.

• Det hade varit bra att få information om hur ett möjligt scenario ser ut vid ett dataintrång. Hur vet man ens att det har varit ett dataintrång? Hur ska det mindre företaget göra? Vem ska man anmäla till?

§ 5

Individen i centrum för GDPR

GDPR-diskussionerna handlar ofta om hur juridiska tolkningar – men forskaren Olgerta Tona tittar på andra sidan av myntet. Hon vill sätta individen i centrum för GDPR och använder begreppet som inspirerat henne själv, ”Empowered by data”.

- GDPR är en möjlighet – både för kunden att klaga och för ett företag att se över sina nyckelresurser, menar hon.

Olgerta Tona har en bakgrund som forskare inom informationsteknik på Lunds Universitet. Hon har bland annat forskat på hur organisationer använder information internt – allt från hur information samlas in och lagras till hur den analyseras och slutligen används för att ta affärsmässiga beslut. I företagen handlar det om att förse sina användare med rätt information i rätt tid och rätt format, till ett brett spektrum av användare för att få en bättre beslutsprocess.

Nu tittar hon också på den andra sidan av myntet, uppkomsten av en medvetenhet hos kunderna/användarna att deras data samlas in och att deras uppgifter kan användas på olika sätt. Ibland kan det vara så att de företag som samlar uppgifter om sina kunder tenderar att veta mer om köpvanorna än kunderna själva. Genom att kunder scannar medlemskort i livsmedelsbutiken samlas data om inköp in, och kunden kan få riktade erbjudanden.

Den ena sidan av en datainsamlingsprocess är att våra liv kan bli bättre genom att vi får mer anpassad service och anpassade erbjudanden, menar Olgerta Tona. De insamlade uppgifterna kan ge företagen en bredare förståelse av konsumtionsmönster. Den andra sidan är att den ökade mängden av persondata också ökar risken för diskriminering, ger en ökad risk att våra möjlighet att göra fria val inskränks och kan också medföra att samhället blir mer segregerat.

När GDPR infördes har diskussionerna framförallt handlat om hur företag och organisationer ska göra för att klara att hantera data för att efterleva den nya lagen. Olgerta Tona har satt fokus på hur man tar sig bakom minimikrav för individens rättigheter och använder lagen för att stärka individen, ”Empowered by data”.

Individen måste ges möjlighet att förstå den generella bilden – vem som samlar, äger och processar data. Individen blir lite borttappad i den stora GDPR-bilden.

Olgerta Tona menar att det behövs tre saker för att stärka individen (”Empowered by data”) och ge den kontroll över sitt liv: att individen känner att den kan ändra ett fenomen, att den känner till praxis och vilka regler som finns och den är medveten om vad det finns för möjligheter att vara aktiv och ta tillbaka kontrollen.

- GDPR är till för att kompetensförklara och skydda medborgarna – men det kräver arbete, till exempel med strukturer för hur man ska göra om man vill klaga på behandlingen av personuppgifter.

Det finns många frågor som inte har diskuterats så mycket, som hur man kan veta att ens data används på ett korrekt sätt och hur man gör för att komma med klagomål.

- Det är svårt och utmanande i början men det är absolut nödvändigt att se över så att det fungerar. Jag ser GDPR som en möjlighet – både för kunden att klaga men den ger också ett tillfälle för organisationen att se sina nyckelresurser, se över sina interna processer och fokusera på sin kommunikation med individen. En organisation som arbetar rätt kan på så vis förbättra sin status och sitt rykte. Ett etiskt sätt att arbeta leder till högre tillit mellan organisation och individ.

För Olgerta Tona väntar nu ett nytt forskningsprojekt inom just detta område. Det kommer att handla om hur kommunikationen mellan organisationer och individer bör se ut för att vara gynnsam för båda sidor - så att individen kompetensförklaras samtidigt som företaget får konkurrensfördelar.

§ 4

Inkubatorns verksamhet GDPR-anpassas

Ola Andersson är affärsutvecklare på inkubatorn Ideon Innovation. I inkubatorn finns just nu 27 bolag. GDPR har medför många förändringar i inkubatorns sätt att arbeta med startups.

Ola beskriver införandet av GDPR som ”lärorikt” och menar att det inneburit både ett nytt sätt att hantera de egna databaserna för att föregå med gott exempel och ett nytt innehåll i det som ges företagen i inkubatorn genom att man har en noggrann genomgång av vad GDPR innebär. Ideon innovation har redan en jurist kopplad till verksamheten men undersöker också om man kan behöva stärka upp även med annan specialkompetens.

- En förändring är att inkubatorn kan behöva knyta till sig experter på nya områden. Än så länge är det många frågetecken om den nya lagen och det finns ingen praxis. Vi måste följa utvecklingen för att se hur vi ska agera.

Ett område där man kan behöva specialkompetens är IT-säkerhet, bland annat beroende på att många av bolagen som är kopplade till inkubatorn arbetar med att utveckla mjukvarulösningar och en viktig uppgift är att hjälpa dem att bygga rätt från början.

En annan trend i inkubatorn är att det tillkommit nya startups som har för avsikt att arbeta med tjänster eller produkter som levererar GDPR-säkerhet.

GDPR har medfört förändringar även i coachernas roll.

- GDPR kan vara ett hinder för startups, eftersom de är rädda för GDPR och undviker att ta tag i det. Det har blivit en ny roll för oss affärscoacher att vi lugnar dem och hjälper dem att kartlägga personuppgifterna. Det brukar visa sig att det inte är så farligt, bara man tar sig tid och tittar tillsammans.

Ola ser också att GDPR medför vissa fördelar för de nystartade bolagen.

- GDPR är ett tillfälle till en verksamhetsanalys som kan ge en tydlig bild av vem man skapar värde för. Om man gör rätt kan det bli en marknadsfördel.

- Genom att man talar klarspråk med kunderna kan man skapa en bra relation. Ofta har kunderna liknande undringar. Det här kan bli en trust-advantage som gör att bolagen kommer att anförtros med mer data som ger en bättre bild av kunden och därmed kan ge dem snabbare produktutveckling.

§ 3

GDPR har medfört ett nytt sätt att kommunicera

Rätt hanterat är GDPR en strategisk fördel, menar företagaren och coachen Maria Richardsson. Marias råd till småföretagarna är att ta det lugnt – och lär ut hur man gör för att bli hittad av kunderna istället för att samla data om dem.

Maria Rickardsson har arbetat med e-handel och digital kommunikation i eget bolag i cirka 10 år. Maria har också arbetat som coach i en e-handelsinkubator i Helsingborg och undervisat entreprenörer i samma ämne i The Creative Tour i Lund.

- Känslan våren 2018 var att alla hade panik, specielltinom e-handeln, menar Maria. I inkubatorn i Helsingborg fanns många tidigaföretag som börjat få volymer och många var oroliga för GDPR.

Marias åsikt är att det inte finns så stor orsak till oro.

- Egentligen är det inte så stor skillnad mot tidigare. Rätt hanterat är GDPR en strategisk fördel.

Här är MariaRickardssons GDPR-råd till SME och startups:

Var inte så rädd för GDPR!
Det ären lagstiftning för kundens trygghet som kan stärka företagets och kundens relation och förtroende. Rätt hanterat är GDPR en strategisk fördel. Egentligen är det enklare för en startup att leva upp till GDPR än för företag som fanns innan lagen trädde i kraft, för då kan man bygga rätt rutiner redan från början.

Ha koll på systemen. Det är viktigt att man som företagare dokumenterar sina system och funderar över vilka fakta som skickas mellan dem. Det är ofta fler system än man tror.

Lär dig vad du vill använda.
Fundera över vilken information du behöver få in av kunderna. Tidigare fanns en tendens att lägga till några extra fält med kundinformation, nu måste man fundera om det finns affärsvärde i den information man samlar in.

Ge kundupplevelse i allt - även i laggränssnittet! Man ska vara tydlig mot kunden om vilken information man samlar och hur den används – men hitta rätt sätt att informera kunderna. Dagarna innan GDPR trädde i kraft svämmade mångas mejlboxar över av meddelanden om GDPR, vilket gav en dålig kundupplevelse för många. Självklart ska man tala om för sina kunder att man har koll på uppgifterna, men det ska inte gå ut över tilliten.

Använd verktyg så att du blir hittad snarare än måste samla. Bra sätt att marknadsföra sig är genom att arbeta med till exempel sökoptimering och annonsering. Det gäller att vara lite mer kreativ och hitta nya personer på ett ärligt och välförtjänat sätt. Tänk efter vilka problem du kan lösa för kunden.

Kan rättas till. Det är en missuppfattning att man får stora böter om man gör minsta lilla fel. Har man gjort fel kommer man först att informeras om att man gör fel och få en möjlighet att rätta till det. Det är inte heller de små företagen som är det största målet för GDPR.

Inte alla uppgifter. En annan missuppfattning är att man måste kunna ta bort alla kunduppgifter om en kund önskar det. Bokföringslagen gäller fortfarande och därför kan man inte ta bort de uppgifter som behövs för bokföringen. Däremot är det viktigt att veta hur man tar bort en kund från till exempel nyhetsbrev.

§ 2

"Nyckeln är transparens"

GDPR känns svårt för många – men specialisten Kasper Jörgensen menar att det i själva verket inte behöver vara komplicerat.

- Nyckeln till GDPR är transparens, säger han. Visa kunder och intressenter att du bryr dig om deras data och att du inte är rädd för att visa vad du använder den till

Kasper Jörgensen är VD och grundare till bolaget ComplyTo, som arbetar med att göra GDPR så lätt och smärtfritt som möjligt för speciellt små och medelstora företag. Kasper uppfattning är att de i de mindre bolagen ofta saknas budget för att hyra in konsulter som kan hjälpa till med mer omfattande GDPR-program. ComplyTo erbjuder hjälp med GDPR genom att företagen själva får svara på frågor som leder till en kartläggning av företagens hantering av personuppgifter. På så vis ges anpassad vägledning i vilka dokument som krävs och hur personuppgifterna ska lagras för att GDPR ska efterlevas.

- GDPR skulle kunna medföra att man lägger mycket pengar på jurister och konsulter, säger Kasper Jörgensen. Vår tanke är att det är företaget självt som har den bästa kunskapen om vad de gör med insamlad data. Det man behöver fråga sig i ett litet företag eller i en start-up är vilken data man har, i vilka system man hanterar dessa data och vad man använder denna data till. Dessa tre frågor kan inga jurister eller konsulter hjälpa företagen med. Det handlar bara om att kartlägga på rätt sätt.

Efter kartläggningen hjälper ComplyTo till med att skapa de dokument som behövs för att GDPR ska efterlevas och ser till att det finns en säker plats där alla dokument och information samlas.

- GDPR är framförallt en fråga om du som företag är transparent mot intressenter och kunder. Du ska visa dem att du bryr dig om deras data och att du inte är rädd för att visa vad du använder den till, fortsätter Kasper. Om du känner att du inte kan berätta för din kund om din data och användningen av den kanske det är någonting fel.

En annan viktig aspekt när man arbetar med GDPR är att ta hänsyn till att allt förändrar sig med tiden.

- GDPR är ständigt pågående. I företagen kan till exempel sättet att använda data eller vilka system som används ändras.

För företagen gäller det också att följa domarna i rättsliga fall eftersom de kommer att sätta upp en praxis för hur man ska sköta GDPR i olika branscher.

- Ett enkelt sätt at tänka för att göra rätt är att sätta sig själv i kundens position. Skulle jag själv vara nöjd med hur de använder min persondata och kan jag förstå den information som ges? Om jag tycker att det skulle kännas ok har jag kommit rätt långt i min GDPR-resa. Men man ska vara medveten om att det är ett rörligt mål, och det som är ok idag är kanske inte ok om sex månader. Det är viktigt att göra sin läxa och ha allt på plats innan kunder eller myndigheter ringer, annars är man hopplöst efter.

Arbetet med GDPR har lärt Kasper Jörgensen att det oftast inte är så komplicerat att efterleva GDPR för de flesta bolag.

- I 80-90 procent av företagen är det inte svårare än att man ska sätta sig ner och se vilka uppgifter som samlas och vad man använder dem till. Det svåraste brukar vara att ta reda på vad man använder uppgifterna till och när man sedan ska radera uppgifterna. Tidigare sparade man ofta data som kanske skulle komma till användning men enligt GDPR ska man inte lagra sådant man inte använder.

Har du något annat viktigt GDPR-råd till bolagen?

- Arbeta med GDPR även om det känns svårt! Kanske får du inte allt rätt till 100 procent, men påbörja resan, det är mycket bättre än att inte ens tänka på det och kanske därmed dra på sig ett GDPR-klagomål.

Gör en struktur och avsätt tid i kalendern för revidering och uppdatering.

§ 1

Influencern är återhållsammed personuppgifter

Samla bara de personuppgifter du verkligen behöver, var noggrann med lösenord och se till att den plattform du använder har ett bra GDPR-arbete. Det är råden som Elin Häggberg, influencer och teknikjournalist, ger till sina kollegor.

Foto: Pia Gyllin

Foto: Pia Gyllin

Elin Häggberg verkar som influencer och teknikjournalist, bland annat genom blogg och podcast på hemsidan Teknifik. Hon berättar om hur lagen först skapade en oro i branschen, men ser nu att det finns enkla vägar för att följa lagen.

- Det spreds snabbt en oro hos många influencers som till exempel jobbar med sociala medier, berättar Elin Häggberg. Men eftersom de flesta influencers jobbar via stora plattformar blir det många gånger inte ett personligt ansvar. Det är plattformen som ska jobba med policy och som ska fixa med godkännande. Om man däremot själv plockar in uppgifter, som att samla mejladresser, då krävs samtycke.

Hur har GDPR påverkat relationen mellan dig och användaren?
- Jag tycker inte att GDPR har haft så stor påverkan på den relationen. Den största påverkan var att användarna var irriterade över att behöva klicka i rutor med samtycke.

Har du någon rutin och arbetsprocess för intrång?
- Jag är väldigt försiktig med att samla personuppgifter. Skulle det ske ett intrång kommer det att vara lätt att kontakta drabbade personer och att se över mina rutiner. Jag tänker också efter vilka lösenord jag väljer och låter inte saker ligga framme. Jag tar också bort det som inte längre är relevant.

Elin Häggbergs tipstill influencern för att följa GDPR:

1.
Se efter vilka personuppgifter du har. Ta bort uppgifterna om du inte behöver dem.
2. Om du inte är säker på att du har ett samtycke –ta tag i det och skaffa samtycke.
3. Kolla den plattform du använder och deras GDPR-policy. Har de strukturerna på plats? Behöver du göra något själv, som att skriva en egen integritetspolicy?
(Se Elin Häggbergs integritetspolicy här: https://teknifik.se/integritetspolicy/)

Nedan hittar du en liten kartläggning över hur du kan komma igång med ditt eget GDPR arbete.