GDPR är inte ett “nödvändigt ont”
En förutsättning för att vara ett ledande analysföretag är att integrera dataskydd i analytiska applikationer säger Jason McMillion, CEO för Need Insights. Vi har sedan starten arbetat enligt den filosofin och vi välkomnar GDPR som tydliggör vikten av detta genom ”privacy by design and default”.

Vi har nyligen inlett ett samarbete med GDPR- och datakonsulten Mats Edvardsson. Vi arbetar fram en modell för riskhantering som lämpar sig för regelbunden och systematisk övervakning, som till exempel för lokaliseringstjänster, beteendestyrd marknadsföring och andra IoT-tjänster.

Genom att proaktivt arbeta med säkerhet och riskhantering av insamlad data vill vi se till att vara ledande inom området och välkomna de nya regelverk inom GDPR. Väldigt många som vi pratat med ser GDPR som ett nödvändigt ont, något som måste göras men man vill inte lägga mer resurser än vad som är absolut nödvändigt. Vi vill vara en förebild för alla som arbetar inom data och analys och därmed i hög grad berörs av den kommande lagstiftningen, säger Jason McMillion.

Modellen som Need Insights arbetar efter är strukturerad i tre nivåer där den första säkerställer att kraven i GDPR samt ePrivacy efterlevs, den andra tillämpar en iterativ process för konsekvensbedömning och förhandsråd som rekommenderas av EU:s egen arbetsgrupp – WP29 och den tredje en djupgående metod för riskhantering som inkluderar säkerhetskontroller, pseudonymisering och de-identifiering av data.

Konsekvensbedömningar och förhandssamråd
Innan man inleder en behandling av personuppgifter som kan leda till en risk för integritetsintrång, till exempel genom att anlägga ett register med känsliga personuppgifter, måste man bedöma konsekvenserna för de registrerade (konsekvensbedömning). Om man bedömer att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken måste man samråda med Datainspektionen (förhandssamråd).

Information från Datainspektionen

(läs mer på www.datainspektionen.se)

Vilka organisationer är skyldiga att utse ett dataskyddsombud?

Enligt dataskyddsförordningen måste följande organisationer utse ett dataskyddsombud:

  • Myndigheter och offentliga organ
  • Organisationer som i sin kärnverksamhet behandlar personuppgifter på ett sätt som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning (till exempel scoring för riskbedömningsändamål, beteendestyrd marknadsföring, lokaliseringstjänster med mera), eller
  • Organisationer som behandlar så kallade känsliga personuppgifter eller uppgifter som rör lagöverträdelser och fällande domar i brottmål i stor omfattning.

Exempel på verksamhet som kan innebära regelbunden och systematisk övervakning är bland annat: tillhandahållandet av telekommunikationstjänster, scoring som genomförs för riskbedömningsändamål (till exempel kreditupplysning, framtagande av försäkringspremier, förebyggande av bedrägerier, spårning av pengatvätt), lokaliseringstjänster (till exempel genom mobilappar), lojalitetsprogram, beteendestyrd marknadsföring, registrering av hälsouppgifter genom fitnessarmband och andra så kallade wearables, smarta mätare, kameraövervakning med mera

Vilka är ett dataskyddsombuds uppgifter?
Dataskyddsombudet ska:

  • Informera och ge råd inom organisationen om vilka skyldigheter som gäller enligt dataskyddsförordningen och annan dataskyddslagstiftning.
  • Övervaka att reglerna i dataskyddsförordningen och annan dataskyddslagstiftning följs samt se till att organisationens strategi för skydd av personuppgifter efterlevs, bland annat genom utbildning och intern granskning.
  • På begäran ge råd om den konsekvensbedömning avseende dataskydd som kan behöva göras och övervaka genomförandet av den.
  • Fungera som kontaktpunkt för tillsynsmyndigheten, till exempel vid förhandssamråd, och även i övrigt samarbeta med tillsynsmyndigheten.
  • Fungera som kontaktpunkt för de registrerade.

Vill du veta mer, kontakta:
Mats Edvardsson
Dataskyddsombud
Telefon: 070 – 355 34 40
Epost: mats@needinsights.com