Många småföretagare frågar oss hur vi jobbar för att uppfylla kraven i den nya dataskyddsförordningen GDPR som träder i kraft under våren 2018. Svaret är: För fullt! Du kan alltså vara lugn. Chris Jangelöv, personuppgiftsombud på Visma Spcs, besvarar de vanligaste frågorna.
Lagar & regler > Vanliga frågor om GDPR
Hur jobbar ni med GDPR gentemot oss som kunder? Finns det någon tidsplan och kommer något att förändras för oss?
Det är inte så mycket som kommer att förändras i relationen med oss. GDPR innebär lite nya krav, och vi är i full gång med att gå igenom samtliga program. Vi ska även justera några avtalstexter så att de innehåller mer information än idag. Som alltid arbetar vi för att alla koncernens program ska uppfylla moderna krav och naturligtvis kommer vi att göra ändringar om det visar sig nödvändigt.
Vi håller också på att ta fram material som hjälper våra kunder att göra de justeringar som kan behövas i rutiner och arbetssätt, alltså det som inte är relaterat till våra program.
Förväntas ni vara i överensstämmelse (compliance) med förordningen när lagen träder i kraft?
Ja, vi arbetar med att anpassa alla avtal och rutiner före den 25 maj 2018. Visma har drivit ett internt GDPR-projekt i koncernen sedan flera år, med målsättningen att hela koncernen till fullo ska nå upp till kraven. Eftersom verksamheten redan är anpassad till Personuppgiftslagen så har vi en god grund att stå på.
Jag undrar vilka lösningar från Visma som har stöd för ”Privacy by design”?
“Inbyggd dataskydd och dataskydd som standard”, som den något knöliga svenska översättningen är, handlar om att man ska hantera personuppgifter i enlighet med lagen. Det gäller alla delar av verksamheten och gäller också valet av verktyg för behandlingen. Visma Spcs målsättning är att samtliga produkter ska uppfylla lagkraven senast 25 maj 2018.
Jag skulle rent allmänt vilja få information om hur Visma hanterar frågan om GDPR i sina programvaror. Jag tänker främst på rätten att bli glömd/ möjlighet till anonymisering och ta ut registerutdrag på personnivå.
Förordningen kan tolkas olika för våra olika produkter. Vissa av kraven är starkt förankrade i lagen, som till exempel möjligheten att radera personer. Andra är av mer underlättande natur, funktioner som vi alltid strävar efter att ha. Ett bra exempel på detta är en särskild rapport för registerutdrag. Vi har inte fattat alla beslut ännu.
Vad gäller rätten att bli glömd påverkar den inte våra program så mycket eftersom bokslut och underlag måste sparas 7 år enligt Bokföringslagen.
Kommer Visma Spcs produkter vara anpassade till GDPR?
Vi bedömer att våra produkter och rutiner är eller kommer att vara genomgångna och klara till 25 maj 2018 då GDPR börjar gälla.
Hur kommer ni att kommunicera med oss som kunder gällande kommande systemanpassningar gentemot GDPR?
Vi håller på att ta fram material som kan hjälpa våra kunder att göra de justeringar som kan behövas i rutiner och arbetssätt, alltså det som inte är relaterat till våra program.
Hur många av er internt har tillgång till vår information hos er?
I våra lokalt installerade program, som till exempel Visma Administration, ser vi ingen av er data. Gällande våra molnbaserade tjänster, är det endast ett mycket begränsat antal tekniker som har tillgång till systemen. I de fall tekniker skulle behöva gå in i er molntjänst, är vår strikta policy att aldrig titta i kunddata. Det är i fallet felsökning, där ni behöver hjälp för att lösa ett specifikt problem, som detta kan bli aktuellt. Då sker det först efter ni givit ert samtycke och endast med syfte att lösa det specifika problemet.
Vad för slags information samlar ni in om användaren när man använder programmet?
Vi tittar enbart på hur programmet eller tjänsten används för att kunna utveckla och bygga bättre produkter för våra kunder. Vi tittar aldrig i kundens datafiler eller knyter ihop direkta personuppgifter till användandet. Det samlas alltså ingen information in om en enskild person.