Nyheter

Så gör facket för att anpassa sig till det nya regelverket

”När vi går in i gdpr ska alla rutiner redan sitta i ryggmärgen”, säger Torbjörn Angelbrant på Vision. Foto: Jörgen Appelgren

ORGANISATIONER. På fackförbundet Vision är arbetet med att anpassa sig till gdpr sedan länge i full gång. Eftersom fackligt medlemskap räknas som en känslig personuppgift är förbundet redan noggranna med att följa personuppgiftslagen, som den nya förordningen är en utökning och skärpning av.

Publicerad

– Men det finns ändå mycket kvar att göra, berättar Torbjörn Angelbrant, chef för Visions medlemsenhet.

En stor nyhet i gdpr är att hanteringen av ostrukturerade personuppgifter, till exempel i e-postmeddelanden och enklare dokument på datorn, kommer att omges av lika strikta regler som strukturerade – det vill säga sådana som behandlas i system och databaser.

För Visions del är lösningen en policy, som bland annat säger att information kring ärenden som skickas med e-post omedelbart ska in i ärendesystemet, sedan ska e-postmeddelandet raderas. Övrig e-post ska gallras efter en viss tid. Medarbetarna får inte heller skapa egna filer med personuppgifter på datorn, och registerutdrag ska, precis som i Visions nuvarande policy, raderas efter tre månader.

Nästa steg är att se till att policyn följs. Främst vill Vision lösa det genom att medarbetarna själva kontrollerar att de inte lagrar.

– Men vi kommer också gå ut med påminnelser, plus att vi kan se hur mycket data som lagras och dra slutsatser utifrån det, säger Torbjörn Angelbrant.

Eftersom Vision hanterar känsliga personuppgifter måste även ett Dataskyddsombud utses, det vill säga en fysisk person som ser till att lagen följs. I pul heter rollen personuppgiftsombud, och på Vision är det i dagsläget Torbjörn Angelbrant. Dataskyddsombudet kan vara en extern konsult men på Vision kommer personen att vara anställd och sitta på plats.

– Vi vill ha någon som förstår organisationen och snabbt kan vara ett stöd när folk har frågor, säger Torbjörn Angelbrant.

En annan nyhet i förordningen är att verksamheter måste kunna visa att de följer lagen. Det innebär bland annat att processerna för behandling av personuppgifter måste dokumenteras. Vision har kartlagt sina processer i ett dokument, och om Datainspektionen knackar på dörren ska förbundet med hjälp av dokumentet kunna visa hur lagen följs.

Även kraven på säkerhet kring personuppgifterna ökar, vilket bland annat innebär att Vision kommer att införa hårdare krav på autentisering för att logga in på Mina sidor, där medlemmarna kan se sina uppgifter.

– Lösenord och login räcker inte, det är inte tillräckligt säkert. Förmodligen kommer vi begära inloggning med bank-id, säger Torbjörn Angelbrant.

I övrigt handlar förbundets anpassning till gdpr mycket om att se över texter, avtal med underleverantörer, och samtycken för behandling av personuppgifter, samt att utbilda och informera medarbetare och förtroendevalda.

– Det är det stora arbetet just nu. När vi går in i gdpr ska alla nya rutiner redan sitta i ryggmärgen, säger Torbjörn Angelbrant.