Hur kan IoT-företag förbereda sig för GDPR?

25 maj 2018 kommer den största förändringen inom dataskyddsområdet sedan personuppgiftslagen PUL som infördes för tjugo år sedan. Den nya lagen innebär en skärpning av hur man får hantera personuppgifter inom EU och ger stärkt integritetskydd. Future by Lund har ett projekt som handlar om hur företag inom IoT-området kan tänka för att uppfylla det nya regelverket.

I maj 2018 kommer personuppgiftslagen PUL att ersättas med en ny EU-förordning, GDPR. Den nya förordningen ger framförallt ett stärkt skydd till den EU-medborgare som registreras och ett utökat ansvar för de som registrerar personuppgifter. GDPR innebär bland annat att det ska vara lätt för enskilda personer att få tillgång till sina egna uppgifter, både för att se uppgifterna men också för att kunna flytta dem till en annan organisation eller till och med få dem borttagna. Organisationer som samlar in personuppgifter behöver nu i mycket högre grad personernas samtycke för insamlingen. Dessutom behöver insamlaren ange syftet med att samla uppgifter. Det går därför inte att använda uppgifterna till något annat än vad man angett från början. Företag måste ha koll på var i organisationen man hanterar personuppgifter, på vilket sätt de ska användas och hur man skyddar dem. Man har också ansvar för hur dessa kombineras med annan data och att integritet och spårbarhet inte förändras. Framöver kommer man behöva ha avtal mellan alla som hanterar data - inklusive system, andra program som t ex dropbox, revisor, molntjänster, CRM-system och externa databaser eller servers. Skulle en organisation som samlar in personuppgifter drabbas av en incident måste de anmäla detta inom 72 timmar. En annan förändring med den nya lagen är att bötesbeloppen om man inte följa kraven blir avsevärt högre och skyldigheten ligger helt på den som samlar in data. Bötesbeloppen kan gå upp till cirka 200 miljoner kronor eller 4 procent av den globala omsättningen.

Den nya förordningen skyddar alltså EU-medborgarnas data och det är tolv uppgifters som omfattas av lagen: namn, personnummer, positionsdata, IP-adresser, webbkakor, hälsodata, politiska åsikter, sexuell läggning, biometrisk information, information om ursprung och etnisk tillhörighet, RFID-taggar samt genetisk information.

Future by Lund arbetar nu med ett projekt med stöd av Tillväxtverket i vilket man testar olika verklighetsbaserade exempel mot GDPR. Problemställningen ligger i att den som arbetar med utveckling fokuserar på teknik och nya affärsmöjligheter inte har några befintliga strukturer att utgå från och har svårt att veta vilken data som behövs. De exempel som används är SME (små och mellanstora företag) i olika branscher kopplat till IoT, öppna system, dataanvändning och utveckling. I projektet vill man belysa vilka uppgifter som kan ses som personuppgifter och vilka risker och möjligheter det finns när man hanterar dessa. I projektet vill man också undersöka vad som händer när lagen kombineras med testbäddar, plattformar och öppna nätverk.

Den andra problemställningen är att lagen inte är ”färdig” utan kommer byggas upp med praxis allt eftersom man testar olika tillämpningar mot lagen. Detta innebär att det just nu inte är klart med vad som gäller vid alla tillfällen och hur alla delar av lag och krav kommer att behöva hanteras. Därför innefattas även frågan hur man bygger strategier för utveckling när svaren inte är givna.

Självklart ger det stora fördelar att göra rätt från början och de olika konkreta exemplen ska kunna vara vägledande för företag från olika branscher med liknande frågeställningar. Det är också tänkbart att kunskap om hur förordningen fungerar kan ge nya möjligheter för företag att skapa ett värde redan i idéstadiet. Det är också en viktig del att ge stödsystemet, som Future by Lund och Ideon Innovation, kunskap om hur man bäst kan stötta SME och start-ups i och med den nya förordningen.

Förutom Future by Lund i Lunds Kommun finns också Ideon Innovation, Sällberg jurister och Sensative med i projektet och hjälper till att provköra exemplen mot det nya regelverket samt bidrar med kunskap kring hur man bygger sensorssystem, öppna system och olika frågeställningar kring detta.

 

Snabbkoll på den nya förordningen - några viktiga punkter

Artikel 15 - Rätt tillgång av data

EU-medborgare har rätt att veta vilken information som företag har om dem och hur den används.

Artikel 17 - Rätten att bli glömd

Om den enskilde kräver det ska företag upphöra att bearbeta och/eller radera personliga data.

Artikel 20 - Dataportabilitet

EU-medborgare har rätt att flytta personliga data från ett företag till ett annat.

Artikel 25 - Inbyggt dataskydd

inbyggt dataskydd betyder att företagets system är designat så att det som standard lever upp till GDPR-kraven.

Artikel 32 - Lämpliga säkerhetsåtgärder

Personliga data ska skyddas genom att företag fortlöpande vidtar lämpliga säkerhetsåtgärder.

Artikel 33-34

Företag har anmälningsplikt. Skulle det ske incidenter ska de rapporteras till tillsynsmyndigheten (i Sverige är det datainspektionen) inom 72 timmar. I vissa fall kan det vara så att drabbade EU-medborgare måste informeras personligen.

Artikel 50 - Utökat dataskydd

Så länge företag hanterar EU-medborgares data omfattas företag även utanför EU av förordningen.

 

...
Relaterade filmer
Kontaktperson

Fredrik Malmberg

Katarina Scott

Finansieras av
Fler projekt