När EU:s allmänna dataskyddsförordning (GDPR) träder i kraft i maj gäller ny lagstiftning om hantering av personuppgifter. Den reglerar hur och vilka uppgifter som företag får samla in och spara, och ställer krav på dataskydd. Lagen förstärker samtidigt individens rättigheter och friheter. Previa är väl förberett för den nya lagstiftningen.
Möjligheten att samla in data om individer har ökat enormt som en konsekvens av digitaliseringen. För att harmonisera utvecklingen av en inre digital marknad och samtidigt värna om individens integritet träder en ny EU-förordning i kraft den 25 maj, General Data Protection Regulation (GDPR).
GDPR påverkar alla delar i verksamheten, reglerar hantering av personuppgifter och innebär även hårdare krav när det kommer till dataskydd. Lagen utökar och förstärker GDPR individens rättigheter och friheter, till exempel genom att styra hur och vilka personuppgifter som organisationer får samla in och spara. Previa är väl förberett för den nya lagstiftningen.
Carina Reidler, vd på Previa, hur påverkar GDPR företagshälsovården?
– Den svenska sjuk- och hälsovårdssektorn täcks, bland annat, av patientdatalagen som ställer höga krav på behandling av personuppgifter. Integritetsskydd har alltid varit en naturlig del av Previas verksamhet. GDPR påverkar alla företag och organisationer, men speciellt oss som företagshälsa eftersom vår kärnverksamhet bygger på hantering av känsliga personuppgifter om hälsa.
Hur har Previa förberett sig inför den nya dataskyddslagen?
– Vi började tidigt med att förbereda verksamheten för övergången till GDPR. Arbetet har inneburit en omfattande genomlysning och successiv anpassning av våra processer och system där vi hanterar personuppgifter. Parallellt med detta har vi till exempel uppdaterat våra styrdokument, vår Integritetspolicy och vi har genomfört utbildningsinsatser för samtliga medarbetare – för att alla i organisationen ska veta vad som gäller.
Som företagshälsa är vår utgångspunkt att Previa är personuppgiftsansvarig
Vad är bra med GDPR?
– GDPR syftar huvudsakligen till att öka skyddet för den personliga integriteten och förstärka individers rättigheter och friheter. Det handlar om vår rätt att ha kontroll över vår information och data som organisationer lånar av oss. Den leder till ökad förståelse för varför vi alla måste vara restriktiva med hur vi hanterar personuppgifter. Kärnan är att arbeta systematiskt för följsamhet till dataskydd och informationssäkerhet.
Vad innebär lagstiftningen för Previas kunder och kundanställda?
– Som företagshälsa är vår utgångspunkt att Previa är personuppgiftsansvarig, dvs den juridiska person som ansvarar för personuppgifterna. Tydlighet kring personuppgiftsansvaret är viktigt och kräver särskilda hänsynstaganden för vissa av våra tjänster. För de situationer där biträdesförhållanden kan föreligga – i relationen till våra kunder och leverantörer – upprättar vi personuppgiftsbiträdesavtal i enlighet med GDPR. Mer information om Previas hantering av personuppgifter finns på previa.se där du också kan ställa frågor direkt oss om detta.
Allmänna dataskyddsförordningen i korthet
Den allmänna dataskyddsförordningen (GDPR) som införs den 25 maj 2018 innebär:
- Företag och organisationer måste ha en laglig grund för att spara personuppgifter. Det handlar om att se över vilka personuppgifter man använder i verksamheten utifrån följande frågeställningar: Vilket syfte har vi med att samla in dem? Var och hur länge lagrar vi dem? Hur skyddar vi dem? Vilken laglig grund har vi för att behandla personuppgifter?
- Nya tekniska och organisatoriska krav på att organisationer säkerställer säker och laglig hantering av personuppgifter. Det gäller mängden av insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet.
- GDPR utökar kraven på information till den registrerade, bland annat ska information vara lättbegriplig och lättillgänglig.
- "Inte mer än nödvändigt" – är en central princip i GDPR som handlar om att man inte får samla in fler personuppgifter än vad som är nödvändigt för ändamålet, och inte lagra uppgifter längre än nödvändigt.
- Behandling av personuppgifter får bara ske med tydligt syfte och detta får i princip inte ändras eller utökas i efterhand.