GDPR

Kundinformation
Vad får vi spara

Detta är idag lite svårt att tolka då det ännu inte finns några prejudikat ännu. Det man vet är bara det som alla tolkar ur lagtexterna.

Där står att man har rätt att spara det som behövs för att kunna följa lagen. Man måste däremot meddela kunden att man sparar det och hur länge man vill spara det.

Man kan även efter kundens godkännande spara andra marknadsrelaterade uppgifter också men då krävs det starkare bekräftelse. Kunden har också nu laglig rätt att bli glömd. Det måste upprättas rutiner för hur all kundinformation rensas från systemet.

Säkra informationen
Hur ska informationen lagras och vem får ta del av den.

GDPR ställer inga direkta krav på detta men säger att man är skyldig att skydda informationen. Man måste också kunna påvisa vem som sett informationen och det krävs säkerhetsklassning på den.

Det betyder att anställda måste ha en anledning till att ta det av information. Löneadministratören behöver inte se kundinformation. Samt att folk loggar ut från sina datorer när de går ifrån sin arbetsplats.

Bärbara datorer måste med största säkerhet alltid ha krypterade hårddiskar. Detta är nog ett minimikrav om den skulle bli borttappad eller stulen.

Informationsskyldigheten
Måste vi ha rutiner för att informera om data försvunnit

Ja detta är väldigt tydligt i GDPR. All förlust av kunddata måste anmälas till datainspektionen och de drabbade kunderna. Här behövs det klara rutiner för hur detta ska gå till.

Vad är då förlust av kunddata?

• Borttappad bärbar med kunddata
• Inbrott och någon har mixtrat eller stulit datorer
• Hackerattack

Det finns många rutiner man behöver se över och dokumentera för att uppfylla GDPR. Det första man behöver göra är att ledningen tar detta på allvar. Sedan behöver man utse någon att köra detta. Den personen måste då få tid till detta.