GDPR-projekt inom VGR – dataskydd och integritet på en ny nivå

Förkortningen GDPR har varit svår att undvika, särskilt under 2017. GDPR är krångligt samtidigt som det är väldigt enkelt.

“Gissar att ni också snackar GDPR på jobbet? Känns rätt krånglig, eller hur? Svår att förstå, svår att efterleva och med stora konsekvenser om man misslyckas. Samtidigt med ett vagt löfte om effektiviserad verksamhet genom bättre processer och mer ordning och reda. För att inte tala om hur mycket bättre det blir ur ett privat perspektiv, där man förhoppningsvis kommer ges en rimlig chans att kontrollera hur ens personuppgifter används när förordningen trätt i kraft.”

– “En bra metafor för GDPR” av Martin Linderå Nordström

Om jag ska ge mig på att sammanfatta vad GDPR går ut på så är det att personuppgifter nu dels har ett ekonomiskt värde samt att de tillhör personen ifråga. En organisation som missköter sig kan få böta miljontals kronor per övertramp, eller upp till 4% av sin omsättning, vad som nu svider mest. EU menar med andra ord allvar med det direktiv som snart blir lag i alla medlemsländer.

GDPR-projektet kommer framöver släppa rapporter här på utvecklingsbloggen. Nedan är en beskrivning av vad projektet handlar om.

Bakgrund till GDPR-projektet inom Västra Götalandsregionen

Som så många andra har VGR påbörjat ett arbete för att leva upp till lagen.

EU:s dataskyddsförordning om behandling av personuppgifter, DSF eller GDPR (General Data Protection Regulation), beslutades i april 2016 och gäller som lag i alla medlemsstater från och med den 25 maj 2018. Syftet med GDPR är att stärka och skydda enskildas grundläggande fri- och rättigheter såsom integritet, rätt till privatliv och skydd för personuppgifter.

Det nya regelverket syftar även till att skapa en enhetlighet och likvärdig nivå på skyddet av personuppgifter inom EU samt utgör en anpassning till det nya digitala samhället. GDPR ersätter dataskyddsdirektivet, personuppgiftslagen (PuL) och nu gällande föreskrifter kring PuL från Datainspektionen. Bristande följsamhet till GDPR kan bestraffas med höga administrativa sanktionsavgifter.

Insikt kring GDPR

GDPR berör alla styrelser, nämnder och bolag inom VGR. Ansvaret för behandling av personuppgifter och vilka skyldigheter sådan behandling medför förtydligas och utökas samtidigt som de registrerades rättigheter förstärks. Inom VGR hanteras idag en stor mängd personuppgifter. I och med GDPR ställs inte bara krav på att hanteringen av de personuppgifter som flödar sker på ett lagligt sätt utan också på att de som hanterar personuppgifter kan visa på att de satta lagkraven efterlevs.

Vad ska GDPR-projektet leda till?

Projekt ska säkerställa en regiongemensam anpassning till GDPR. I detta ligger att tydliggöra roll- och ansvarsfördelningen vid anpassningen mellan regional och lokal nivå. I den mån anpassningen kan ske på gemensam/regional nivå syftar projektet till att genomföra anpassningarna på sådan nivå. I övrigt syftar projektet till att ta fram lämpliga lösningsförslag så att alla styrelser, nämnder och bolag ska kunna göra rätt i det anpassningsarbete som måste ske på lokal nivå.

Projektet avser att resultera i att:

  1. Det inom VGR finns kunskap om GDPR, vad GDPR innebär och hur GDPR bör hanteras inom VGR.
  2. VGR har gjort en kartläggning över var personuppgifter finns och hur dessa används och kommuniceras. Kartläggningen har visat på vilka förändringsbehov som finns och vilka stöd och styrprocesser som behöver tas fram.
  3. Det inom VGR finns kunskap om vilka personuppgifter som hanteras, på vilken laglig grund och hur hanteringen ska utföras för att uppfylla kraven i GDPR.
  4. Kravet på ”privacy by design” är uppfyllt vilket innebär att IT-lösningar är anpassade till GDPR.
  5. Roller och ansvar är fördelade mellan såväl regional nivå och lokal nivå som mellan styrelser, nämnder, bolag och objekt.
  6. Koncerngemensamt utbildningsstöd är utvecklat.
  7. Formulerade tekniska krav och organisatoriska förutsättningar finns för att tillämpa GDPR.
  8. Se över, anpassa och komplettera de befintliga säkerhetsåtgärder som finns inom VGR för att förbereda för fortsatt systematiskt arbete med personuppgiftsbehandling och säkerhet för personuppgifter inklusive de metoder, processer och rutiner som säkerhetsåtgärderna bygger på (sker inom ramen för delprojekt VGR IT).
  9. Fördelningen mellan Personuppgiftsansvariges (PuA), personuppgiftsbiträdes (PuB) och dataskyddsombudets roll (DSO) inom VGR har tydliggjorts.
  10. Såväl de regionala som de lokala styrdokumenten och rutinerna är anpassade till GDPR.
  11. Alla styrelser, nämnder och bolag har kunskap och förutsättningar för att kunna uppfylla kraven i GDPR.

Projektägare

Eva Arrdal, direktör Utförarstyrning och samordning på Koncernkontoret

Projektledare

Fredrika Holm, Administrativa enheten, Skaraborgs Sjukhus

Mer om GDPR

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *