Benita Falenius, informationssäkerhetschef på IT-avdelningen, och Markos Stavroulakis, chefsjurist p
Benita Falenius, informationssäkerhetschef på IT-avdelningen, och Markos Stavroulakis, chefsjurist på Avdelningen för planering och ledningsstöd.

– Vi kommer inte att veta allt när lagen träder i kraft, vi får vänta på rättspraxis, säger Markos Stavroulakis, chefsjurist, Avdelningen för planering och ledningsstöd.

– I juni är universitetets anvisningar kring dataskydd klara och beslutade, de konkretiserar förordningen och är ett praktiskt stöd för alla som hanterar information om människor, säger Benita Falenius, informationssäkerhetschef, IT-avdelningen.

Ytterligare stöd i arbetet vid Stockholms universitet blir de två dataskyddsombud som ska utses.

Både lätt och svårt att anpassa till nya förordningen

Alla universitetets institutioner och förvaltningsavdelningar ska ha ordning på sina personuppgifter när dataskyddsförordningen träder i kraft i maj. Arbetet har pågått sedan i höstas.

– Regelverket är lite strängare, men det får inte särskilt stora praktiska konsekvenser för oss eftersom vi sedan tidigare har listor över alla register och uppfyller sekretessavtal och lagar, säger Reidar Österman, databasansvarig vid Institutionen för folkhälsovetenskap.

Forskare vana att hantera känslig data

Forskarna på institutionen är vana att hantera känslig data, berättar Reidar. Institutionen har tagit sekretessavtal på allvar, data finns på avgränsade servrar, det finns brandväggar och redan nu krävs att all data hanteras på plats på institutionen, det går alltså inte att arbeta hemma via fjärrskrivbord.

– I princip ersätter vi våra PUL-register med Excelark anpassade till GDPR, i övrigt är det är ingen större skillnad, säger han.

Institutionens prefekt, Mikael Rostila, säger att de, tack vare att de tänkt mycket på dessa frågor och började tänka kring dem redan för flera år sedan, ligger bra till med datasäkerhet och hur de skyddar data.

– Det är viktigt att ha någon som är ansvarig och bevakar att alla regler uppfylls. Och som kan gripa in om det finns konstigheter. Annars finns det risk för att alla gör på sitt eget sätt, säger han.

Studentavdelningen inventerar system

Studentavdelningens chef, Jerker Dahne, berättar att arbetet med inventeringen av system och vilka personuppgifter som samlas in och hur gör det tydligt att alla verksamheter inom avdelningen hanterar personuppgifter på något sätt, inte bara de som arbetar med antagning och studiedokumentation.

– Det är positivt att reflektera kring vilka data vi samlar in och hur vi hanterar dem. Är uppgifterna nödvändiga? Har vi rutiner för gallring? säger han.

Den stora utmaningen, menar han, är all data som inte ingår i egentliga register, som till exempel e-post och excellistor. Där har Studentavdelningen en bit kvar till mål. Men med hjälp från Avdelningen för arkiv och registratur, IT-avdelningen och juristerna på Avdelningen för planering och ledningsstöd kommer Studentavdelningen att lösa det.

– Arbetet kan kännas för stort, men man får börja i en ände. Och veta om att man aldrig blir helt färdig, säger Jerker Dahne.

Både Studentavdelningen och Institutionen för folkhälsovetenskap ser arbetet inför dataskyddsförordningen som en chans att få ytterligare överblick kring hur de hanterar personuppgifter och att utveckla arbetet och tankesättet kring datasäkerhet:

– De fildelningstjänster som Stockholms universitet erbjuder bör till exempel ha högre säkerhet, säger Reidar Österman vid Institutionen för folkhälsovetenskap.

Personuppgift – vad är det?

All slags information som direkt eller indirekt kan knytas till en levande fysisk person räknas enligt dataskyddsförordningen som personuppgifter. Det kan handla om namn, e-postadresser och IP-nummer, men också till exempel foton, filmer och teckningar kan vara personuppgifter om de avbildar människor. Till och med en ljudfil med en persons röst kan vara en personuppgift.

Källa: Datainspektionen

25 maj 2018 – Dataskyddsförordningen börjar gälla

20 juni 2018 – Beslut om anvisningar för Stockholms universitet

Frågor om GDPR?

Skicka frågor till gdpr@su.se. Frågor av strategisk karaktär diskuteras inom projektgruppen innan återkoppling, svar kan alltså dröja lite.

Dataskyddsombud – kontrollerar att dataskyddsförordningen (GDPR) följs inom organisationen. Fungerar som ett slags revisor.

Tidslinje:

2017 2018 20/6 hösten
Enkät om hur personuppgiftslagen efterlevs

25/5 Registerförteckning färdig över samtliga samlingar av personuppgifter hos institutioner, förvaltning etc.

25/5 Dataskyddsförordningen träder i kraft

Anvisningar för Stockholms universitet Använda anvisningar, dvs konkretiseringar av dataskyddsförordningen anpassad till Stockholms universitet

 

Text: Anna-Karin Landin