Mer än 90 % av Europas medborgare säger att de vill ha enhetliga regler för uppgiftsskydd inom EU. Oavsett var uppgiftsbehandlingen sker kommer det snart att bli verklighet. Reformpaketet har inneburit slutet för det lapptäcke av regler för uppgiftsskydd som tidigare fanns i EU. Med gedigna gemensamma normer för uppgiftsskydd, kan människor vara säkra på att de har kontroll över sina personuppgifter. Och de kan samtidigt utnyttja den digitala inre marknadens alla tjänster och möjligheter. Enhetliga regler bygger en stark bas för att hjälpa Europa att utveckla innovativa digitala tjänster.
Ny dataskyddsförordning
Enligt datainspektionen ska den nya dataskyddsförordningen börja tillämpas i maj 2018. Dataskyddsförordningen kommer att gälla som lag i Sverige och ersätter personuppgiftslagen. Då dataskyddsförordningen kommer att medföra en hel del förändringar för alla som hanterar personuppgifter har Xtractor gjort en analys av hur den nya förordningen påverkar er som använder LMS.
Vad menas egentligen med en personuppgift?
Datainspektionen har definierat vad en personuppgift är enligt följande: ”All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas enligt personuppgiftslagen som personuppgifter. Även bilder (foton) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer.”
I Totara LMS kan detta innebära uppgifter såsom personnamn, e-postadress, närmaste chef, medarbetarsamtal och kompetensbedömningar.
Vad behöver jag göra?
Formellt sett är det din organisation som är personuppgiftsansvarig, där Xtractor som leverantör av systemet typiskt är personuppgiftsbiträde. Som ansvarig för personuppgifter behöver din organisation säkerställa att dina användares rättigheter efterlevs. Här rekommenderar Xtractor att organisationer som arbetar med LMS tänker igenom vilka rutiner ni har för att säkerställa användarnas rättigheter i systemet. De viktigaste rättigheterna för de registrerade är att:
- få tillgång till sina personuppgifter
- få felaktiga personuppgifter rättade
- få sina personuppgifter raderade
- invända mot att personuppgifterna används för direktmarknadsföring
- invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering
- flytta personuppgifterna (dataportabilitet)
Dessutom rekommenderar datainspektionen att ni bör undersöka vilka olika typer av uppgifter som ni behandlar och med vilket rättsligt stöd ni gör detta.
Som personuppgiftsansvarig behöver du också säkerställa att lagring och behandling av personuppgifter sker på ett säkert sätt. Tyvärr är just personuppgifter högintressant för kriminella.
Vad gör Xtractor?
Vi på Xtractor ser till att personuppgifterna är säkra.
Xtractors lärplattform, Totara LMS, använder sig av en branschpraxis gällande att utveckla säkra IT-system, kallad OWASP. Open Web Application Security Project är en online-baserad sammanslutning i open source-anda som skapar artiklar, metoder, dokumentation, verktyg och tekniker inom säkerhet för webapplikationer.
Branschstandarden OWASP AVSV version 2 omfattar ett antal områden utifrån möjliga sårbarheter för en webbapplikation vilka Totara LMS har som utgångspunkt i sin utveckling. Hur Totara arbetar med säkerhet finns att läsa mer på deras hemsida.
Dessutom har Totara LMS gedigna loggar som registrerar vem som gjort vad och när.
Och hur säkert arbetar Xtractor?
Xtractor kommer att föra ett register över alla kategorier av behandling som utförs för den personuppgiftsansvariges räkning. I det fall som Xtractor anlitar underkonsulter kommer dessa underkonsulter få skriva på ett NDA som inkluderar kraven för personuppgiftsbiträden. Dessutom genomför Xtractor sårbarhetsanalyser för att analysera eventuella risker och vidta mitigerande åtgärder i våra tjänster och arbetssätt.
Men om det ändå skulle hända något?
Xtractor har rutiner för säkerhetsincidenter. Om ditt LMS exempelvis skulle bli utsatt för dataintrång i form av personuppgiftsincident eller säkerhetsincident, kommer Xtractor skyndsamt att underrätta er personuppgiftsansvarig. Och självklart samarbetar Xtractor med Datainspektionen om det skulle finnas behov. I rutinen ingår att se över vilka åtgärder som behöver göras på kort och lång sikt för att förbättra säkerheten.
Nästa steg
Vi tar gärna en dialog med dig om hur vi tillsammans kan säkerställa att din organisation kan efterleva detta nya direktiv, oavsett om du redan idag använder Totara LMS eller överväger att börja göra det.
Jeanette Bergvall
Affärsområdeschef, System