Den 25 maj kommer närmare och närmare. Knappast någon har väl missat att den nya dataskyddsförordningen (GDPR) träder i kraft då.
Vad är GDPR och vad innebär det för mig som ehandlare?
Det är en gemensam lag över hela Europa, som skall göra att samma regler gäller överallt i hela Europa. GDPR ersätter personuppgiftslagen, som har varit Svensk lag sedan 1988. Med GDPR får alla som organisationer ett större ansvar på att ha kontroll på sina kunders uppgifter. Med lagen följer ett antal skyldigheter för dig som webbhandlare och krav på att leva upp till rättigheter som kunderna har.
Den främsta förändringen som kommer att märkas för dig är nog att du tvingas till att veta vilka uppgifter du har om dina kunder och varför du har dem. Du måste kunna svara på frågor från kunder om vilka uppgifter du har om dem samt kunna leverera historik på deras samtliga transaktioner efter förfrågan (registerutdrag). Du måste även kunna tillgodose deras önskemål att bli bortglömda, dvs helt raderade ur dina system och register.
GDPR anpassningar i Kodmyran Commerce plattformen
Vi har under en längre period jobbat med en ny plattform. Kodmyran commerce 6.0
Den kommer bland annat att innehålla ett helt nytt administrationsgränssnitt samt en del ny funktionalitet och med den även de nya funktioner vi lagt in för att hjälpa våra kunder i deras GDPR arbete. Vi har redan börjat rulla ut plattformen som en beta till utvalda kunder och planen är att den kommer släppas till alla våra kunder under maj månad.
De viktigaste GDPR funktionerna plattformen stödjer är:
Slutkundens önskemål att bli bortglömd
Detta görs genom ett knapptryckning inne på kundkortet. Det innebär att kunden och hans data raderas från systemet
Önskan om registerutdrag
Registerutdrag kan nu fås genom en knapptryckning inne på kundens kundkort. Detta är i maskinläsbart format i enlighet med GDPR.
Dataportabilitet
En kund ska kunna portera sin information och använda i andra system. Vi stödjer detta på flera olika sätt, dels genom att registerutdraget man kan göra på en slutkund är maskinläsbart men även genom att det går att göra exporter på kundens alla data.
Sida för Integritetspolicy
En sida finns i alla våra grunddesingmallar i plattformen där man kan informera slutkunden kring vad man sparar för information om dem, dvs skriva ner sin integritetspolicy. På så sätt finns all information lättåtkomligt på samma ställe för slutkunden, och det är enkelt att hitta och även att länka till denna sida från de ställen det behövs länkar, exvis i kassa, i köpvillkor m.m.
Versionshantering av köpvillkor
Vi sparar numer och versionshanterar köpvillkoren, du kan därför alltid se exakt vilka villkor en kund godkänt och när de godkändes.
Säker lagring av personuppgifter och Privacy by design
Detta är egentligen inget som är nytt för oss på Kodmyran. Säkerhet och integritet är något vi alltid haft med i tänket när vi byggt vår plattform. Att minimera mängden personuppgifter som sparas i systemen så att inte mer uppgifter än vad man behöver sparas. Att anonymisera uppgifter där det är möjligt. Att begränsa åtkomsten till uppgifterna så att bara de som behöver uppgifterna ser dessa. Samt att skydda de data som finns lagrat i systemet på ett säkert sätt så att de inte läcker eller missbrukas, är saker som vi gjort redan innan GDPR. Men med den nya lagen blir det tydligare att vi tänkt rätt när vi gjort dessa saker.
Några exempel på saker som redan finns i plattformen men även en del nya saker är:
- Behörighetsstyrning– Fasta användarroller som kan behörighetsstyras var vi tidiga med att införa i shop4sale, den gamla plattformen, och detta har byggts ut ytterligare i den nya Commerce plattformen. I den nya plattformen kan ni till och med helt skräddarsy dessa användarroller. Det gör att er personal absolut inte behöver se mer än de har behörighet till.
- Anonymiserad Statistik – All statistik är anonymiserad där det kan göras
- Lösenordshantering – Slutkunders lönseord krypteras och saltas alltid
- Administratonsgränssnitthantering – Alla butikers admin går endast att komma åt via HTTPS sidor, de ligger bakom ett SSL certifikat.
- SSL användning på hela butiken – Möjlighet till att lägga in SSL certifikat på hela butiken och inte bara kassan finns. Detta är något alla plattformar fortfarande inte stödjer. Något som är helt obegripligt ur GDPR synpunkt, men även med tanke på att Google promotar detta hårt. Ur säkerhetssynpunkt är det ett måste i dag
- Systemets loggar – Systemets loggar kan även de innehålla personuppgifter. Dessa hanteras med samma säkerhetsnivåer som systemet i övrigt och rutiner finns för att gallra dessa med jämna mellanrum.
- Säkerhetskopior & Backuper – Sparas med samma säkerhetstänk som övriga systemet och rutiner finns för hur länge dessa sparas. Rutiner finns även för att personer som bett att få bli bortglömda inte kommer att komma med igen vid inläsning av backup
GDPR anpassningar hos Kodmyran
Utöver ombyggnationerna i plattformen pågår såklart anpassningar även på andra sätt.
Personuppgiftsbiträdesavtal
Ett personuppgiftsbiträdesavtal och även ett nytt avtal för användande av plattformen håller på att tas fram i samarbete med it säkerhetsbolaget och våra jurister. Detta kommer du som kund att få godkänna vid inloggning i plattformen framöver.
Dataskyddsombud
Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen (GDPR) följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser.
Den övergripande och viktigaste uppgiften för dataskyddsombudet är alltså att övervaka att organisationen följer dataskyddsförordningen. Det innebär bland annat att
- samla in information om hur organisationen behandlar personuppgifter
- kontrollera att organisationen följer bestämmelser och interna styrdokument
- informera och ge råd inom organisationen.
Dataskyddsombudet ska också
- ge råd om konsekvensbedömningar
- vara kontaktperson för Datainspektionen
- vara kontaktperson för de registrerade och personalen inom organisationen
- samarbeta med Datainspektionen, till exempel vid inspektioner.
I vårt GDPR projekt har vi efter genomgång av de personuppgifter vi lagrar kommit fram till att vi som företag kommer att tillsätta ett dataskyddsombud. Alla företag behöver inte ha detta, men företag som regelbundet och systematiskt hanterar stora mängder personuppgifter eller känsliga personuppgifter ska ha ett sådant. Vår bedömning är att vi som platttformsleverantör hanterar stora mängder personuppgifter åt våra kunder, därför har vi alltså valt att tillsätta ett dataskyddsombud. Som en extra säkerhet gentemot våra kunder väljer vi att tillsätta ett extern dataskyddsombud för att verkligen få en utomstående expertkoll på att vi hanterar detta helt korrekt.
Rutiner för gallring av uppgifter
Rutiner för hur gallring av våra kunders uppgifter ska gå till har tagits fram. Dessa kommer att finnas med i personuppgiftbiträdesavtalet. (Observera att det är du som ehandlare själv som kommer att behöva fastställa vid vilka tidpunkter gallring ska utföras och göra dina egna rutiner för hur länge ditt data ska sparas). Detta är rutiner för HUR gallring ska gå till.
Rutiner vid incidenter
Rutiner för rapportering av personuppgiftsincidenter har tagits fram. Dessa kommer att finnas med i personuppgiftbiträdesavtalet så att du som kund till oss vet vad du har att förvänta dig vid en personuppgiftsincident och hur du blir informerad om sådana.
Kartlägggning av Personuppgifter
Vi har gjort ett register över de personuppgifter vi hanterar, dels såklart för Kodmyrans egen del där vi är personuppgiftsansvariga men även ett register över de uppgifter vi hanterar som personuppgiftsbiträde.