Mercur Start

Är ni redo för GDPR?

GDPR står för General Data Protection Regulation. Lagen börjar gälla 25 maj 2018 för alla länder inom EU. I Sverige ersätter GDPR den gamla personuppgiftslagen (PUL). 

Syfte

Syftet med denna dataskyddsförordning är att ge kontrollen över personuppgifter tillbaka till EU:s medborgare. Förordningen berör företag, organisationer och myndigheter. Den ska reglera hur man får samla in och lagra personuppgifter och framförallt att man bara ska hämta uppgifter som är nödvändiga, och bara spara dem så länge de behövs.

 

Vanliga personuppgifter i Mercur

Ur ett Mercur-perspektiv är det vanligaste exemplet på var personuppgifter kan finnas framförallt i personalplanering. Om man gör budget och prognos eller har rapportering och analys på individnivå förekommer ofta basuppgifter om anställda i systemet.

  • Användar-ID

  • Förnamn, Efternamn

  • E-postadress

  • IP-adress

  • Telefonnummer

  • Organisatorisk tillhörighet

  • Befattning

  • Födelsedatum (ålder)

  • Kön (kan härledas ur personnummer)

 

Särskilda kategorier av personuppgifter

En del personuppgifter ska man vara extra uppmärksam på. Det kan röra sig om information om:

  • Lön och andra förmåner

  • Närvaro och specifikation av tidsanvändning

  • Frånvaro och anledning till frånvaro

  • Personnummer

För att säkerställa att känsliga uppifter hanteras på ett korrekt sätt kan Mercur hjälpa er att omdesigna ert system så att hanteringen följer riktlinjerna för er organisation och dataskyddsförordningen.

 

Loggning av viktiga händelser i systemet

Även loggning av händelser kan utgöra personuppgifter. Ur händelseloggar, användningsstatistik och systemdiagnostik kan man ofta härleda vilken användare som ansvarar för en viss händelse, exempelvis öppnat en rapport eller sparat information i en inmatningsblankett. Samtidigt som registreringen av systemhändelser innebär ökat skydd genom spårbarhet bör lagringen utformas så att ingen obehörig har tillgång till informationen och att man har rutiner för gallring.

Privacy by design ur ett Mercur-perspektiv

En av de grundläggande principerna inom integritetsskydd är så kallad uppgiftsminimering. Organisationen ska vidare vidta lämpliga tekniska och organisatoriska åtgärder för att uppfylla kraven i dataskyddsförordningen. Vad som är ”lämpliga åtgärder” styrs av uppgiftens art, behandlingens omfattning och syfte samt den risk som individen utsätts för vid behandlingen.
I dataskyddsförordningen uppställs nu ett uttryckligt krav på ”privacy by design” eller ”inbyggt dataskydd” vilket innebär att organisationen redan vid upphandlingen av ett IT-system eller vid ändring av befintligt IT-system ska ta hänsyn till integritetsskyddet och bygga in funktioner som  stödjer detsamma. 

Mercur Buisness Control 8 är utvecklat med detta i åtanke och en av grundprinciperna är privacy by design. De funktioner som hjälper Er att följa dataskydsförordningen är till exempel:
 

Behörighetsstyrning

I Mercur kan man strikt styra behörigheter så att användarna endast har åtkomst till data de fått behörighet till.
 

Anpassningsbarhet

Mercur Business Control kan anpassas så att de följer era definerade riktlinjer och arbetssätt, vilket möjligör en flexiblitet kring hur Ni arbetar med dataskydsförordningen.
 

Loggning och spårbarhet

Alla viktigare händelser i systemet loggas i en så kallad händelselogg vilket ger spårbarhet. De systemhändelser som loggas är:

  • Av- och påloggningar

  • Tabelluppdateringar Exempelvis när en rapportmall eller en behörighetsinställning sparats.

  • Fel

  • Datauppdateringar När användaren sparat data i en blankett eller när andra förändringar av en databas gjorts.

  • Importer och exporter Körningar av dataflöden.

  • Filuppdateringar Exempelvis när en bildfil uppdaterats.

  • Rapportaccess Varje gång en rapport öppnas av en användare.

  • Systemhändelser Exempelvis när systemperioden uppdaterats eller när ett batchjobb körts.
     

Kryptering

Mercur Business Control innebär datahantering med  hög säkerhet och ett av exemplen på detta är kryptering. All kommunikation till och från ett Mercur- system är krypterat. Vi har även tagit steget att kryptera våra backuper och kommunikation mellan olika Mercur-system.
 

Rätten till sina personuppgifter - dataportabilitet

Den registrerade har rätt att få ut sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format. Detta säkerställs i Mercur med rapporter, saldofrågor, exportfunktioner och loggutskrifter.  Mercur Business Control kan exportera data via ODBC/JDBC, vilket möjligör enkel export av data och det går även att exportera till csv, pdf eller text filer.
 

Rätten att bli glömd - möjlighet att söka och radera data

Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade Detta säkerställs i Mercur med systemdesign som medger enkel spårbarhet samt funktioner för dataunderhåll (radera poster) Ni kan själva eller med hjälp av Mercurs konsulter hitta specifika personuppgifter och radera eller anonymisera dessa.

Hur kan Mercur hjälpa till?

Mercur erbjuder en analys av kundens system och föreslår lämpliga förändringar utifrån ett GDPR-perspektiv.

Analys av nuläge och önskat läge

  • Kartläggning av lagring och behandling av personuppgifter

  1. Finns uppgifter som är personliga och/eller känsliga?

  2. Vad är syftet med lagringen och behandlingen?

  3. Finns uppgifter som inte behövs?

  4. Hur hanteras information i samband med överföring mellan system? Är åtkomst till eventuella filer begränsad på ett korrekt sätt?

  • Är systemdesign optimerad för hantering av personuppgifter?Är åtkomstkontrollen optimalt utformad för den som ska ha tillgång till uppgifterna respektive den som inte ska tillgång till uppgifterna?

  • Är loggningen av systemhändelser tillräcklig?

  • Finns rutiner för att minimera uppgifterna?

  • Hur är rutiner för gallring utformade?

  • Finns funktioner för portabilitet och radering?

  • Har personalen den utbildning som behövs?

 

Möjliga aktiviteter/förändringar

  • Kartläggning av information i systemet

  • Översyn och förändring av systemdesign

  • Flytt av personuppgifter till separat databas

  • Ommappning, anonymisering och radering av data då felaktiga lagringsbegrepp används (ex. personnummer)

  • Tillägg av lagringsbegrepp för ökad spårbarhet (ex. källa)

  • Konfigurering av rapporter och blanketter som innehåller personuppgifter

  • Vilken information behövs, respektive behöver visas?

  • Skapa rapporter för dataportabilitet (saldofrågor, exporter och loggutskrifter) som visar vilken information som lagras avseende en viss person i systemet

  • Rensning av historik

  • Uppsättning av rutiner för gallring och funktioner för radering på anmodan

  • Kontroll och konfigurering av behörigheter

  • Säkerställa loggning och spårbarhet

Kontakta oss eller er konsult för ytterligare information om hur Mercur kan anpassas för att hjälpa till med er GDPR-sammanställning.

 

Almänna råd

Samtycke och nödvändighet 

Som personuppgiftsansvariga ska ni kunna visa att medarbetare samtycker till lagring och behandling av personuppgifter. Ni ska även kunna visa att behandlingen är nödvändig

Uppgiftsminimering

Tänk på att bara uppgifter som behövs för det avsedda syftet får lagras. Det ska därför finnas rutiner för gallring. Som personuppgiftsansvarig ska ni föra register över behandlingar (även hos biträden som exempelvis Mercur). Efterfrågad information finns i Mercurs standardavtal.
 

Biträdesavtal

Dataskyddsförordningen kräver att ett personuppgiftsbiträdesavtal ska tecknas. Dessa ska definiera vilka personuppgifter en leverantör har tillgång till och varför de har tillgång till uppgifterna. 

Våra färdiga standardavtal baserade på mallar från IT & Telekomföretagen kan laddas ner här.

 

Molnlösning

Vår molnlösning hjälper Er att uppfylla de säkerhetsmässiga krav som ställs i samband med GDPR. 

Vi har en hög säkerhet i vår molnlösning och många kunder föredrar denna då den kan minska deras attackvektor, dvs. de vägar som finns för angripare att komma åt exempelvis system och servrar. Vi penetrationstestar,övervakar, uppdaterar och patcharvår molnlösning för att ge en säker och stabil miljö för våra kunder.
 

Sanktioner

En stor skillnad i den nya lagen är att sanktionerna blir hårdare för de företag som inte följer lagen, vilket kan innebära höga böter på så mycket som fyra procent av företagets totala omsättning. 

 

Kontakta oss eller Er konsult för ytterligare information om hur Mercur kan anpassas för att hjälpa till med Er GDPR-sammanställning.

 

 

Följ oss:

Kontakta oss:

Telefon: +46 (0)8-459 69 00

Support: +46 (0)8-459 69 30

E-post:

Besök oss:

Mercur Solutions AB

Vretenvägen 13

SE-171 54 Solna

© 2018

Mercur Solutions AB

Org.nr 556288-6761

WEBBPLATSKARTA

Powered by Dynamix CMS by Initiva
Kontakt