GDPR

Följ vår blogg
Skriv ut eller dela

Är din ekonomiavdelning redo för GDPR?

Många företag och organisationer har redan börjat anpassa sig till EU:s nya dataskyddsförordning GDPR, som träder i kraft den 25 maj 2018. Till skillnad från PuL, ger den nya personuppgiftslagen utrymme för sanktioner i form av höga böter om inte reglerna efterföljs. Om du inte känner till vilket ansvar organisationer och företag kommer att få gällande hantering av personuppgifter, är det hög tid att ändra på det nu.

Grundprinciperna i GDPR-lagen

Syftet med GDPR är att skydda EU-medborgarnas personuppgifter. Ett företag som vill sälja eller interagera med fysiska personer inom EU är skyldiga att följa lagen. Tanken är att skapa ett enhetligt skydd för personuppgifter och att modernisera lagstiftningen så att den passar dagens digitala samhälle.

GDPR innefattar specifika tekniska instruktioner, t.ex. att alla fysiska personer uttryckligen ska ge samtycke till att hantering av personlig information och obligatorisk kryptering av känslig data på mobila enheter eller i molnet. Lagen innehåller också mer allmänna principer som att säkerställa ”privacy by design”, vilket innebär att system och teknik genomgående skall utformas för att begränsa insamling, återanvändning och tillgänglighet av data.

De viktigaste förändringarna är:

  • Sanktionsmöjlighet för de organisationer som inte följer lagen (detta saknas i PuL)
  • Lagen gäller även företag med hemvist utanför EU men som har EU-medborgare i sina register
  • Kundernas rättigheter (som blir större)
  • ”Privacy by design” (teknik, system och rutiner skall utformas så att datainsamling, återanvändning och tillgänglighet begränsas)

 

Den nya GDPR-lagen ställer alltså större krav på organisationer och företags hantering av personuppgifter och den medger sanktionsrätt. Organisationer som inte uppfyller de nya hårdare kraven, kan få böter på upp till 20 miljoner euro eller 4% av den totala årsomsättningen.

GDPR på ekonomiavdelningen

Så vad betyder införandet av GDPR för ekonomiavdelningen? En ekonomifunktion hanterar ofta känslig information och har ett stort ansvar för att den inte hamnar i orätta händer. Om information skulle läcka, kan det leda till att obehöriga får access till kunders konton eller begår identitetskapningar. Ekonomiavdelningar skall vara extra noga med att uppfylla regelkraven enligt GPDR.

Hela verksamheten bör involveras i anpassningen till GDPR. Ekonomiavdelningen skall inte självständigt driva detta projekt och ingen avdelning skall lämnas utanför.

För ekonomiavdelningar, är följande ansvarsområden särskilt relevanta:

Arkivering

Organisationer måste ha ett väl organiserat fakturaarkiv. Det kan låta enkelt, men många gånger sparas pappersfakturor på olika ställen och digitala arkiv kan ligga på olika lagringsenheter. Efter införandet av GDPR, ställs det krav på att arkiverade poster skall sparas i originalformat och att de förstörs efter en bestämd tidsfrist.

Dataåtkomst

Om en kund eller leverantör begär ut sina personuppgifter måste företaget eller organisationen lämna ut dessa utan dröjsmål – i ett format som är läsbart och enkelt att skicka vidare.

Registervård

Organisationer skall ha interna register över hur personuppgifter behandlas. Det måste också vara möjligt att extrahera rådata och tillhandahålla en fullständig historik över den lagrade informationen från de system och register som används.

Ta bort poster

Om en person (t.ex. en kund eller leverantör) tar tillbaka sitt medgivande och begär att deras persondata skall raderas från organisationens register, måste detta ske. Det är viktigt att all data tas bort och att man gör det på ett sätt som inte påverkar andra poster.

Vid en eventuell överträdelse…

Om en organisation bryter mot lagstiftningen, måste personen vars uppgifter inte behandlats korrekt informeras utan dröjsmål. Organisationer måste därför ha beredskap för att identifiera överträdelser och snabbt kunna se vilken data som läckt – och då kontakta alla berörda personer inom 72 timmar.

Det finns också några frågor som alla företag eller organisationer måste kunna svara på:

  • Vilka personuppgifter finns registrerade?
  • Var förvaras dessa och hur hanteras de?
  • Vem är ansvarig för att data sparas och hanteras på ett säkert sätt?

 

Inom många verksamheter finns inga tydliga svar på dessa frågor. Men det måste finnas när GDPR träder i kraft.

IT- och datasäkerhetsavdelningen blir en nyckelfunktion i arbetet att säkerställa korrekt och säker hantering av personuppgifter. Öppen kommunikation mellan avdelningar är en hörnsten i de principer som introduceras av GDPR. Genom att ha en öppen dialog kan man bespara sin organisation dåligt rykte samt stora böter.

Gör det enkelt

Den nya hårdare personuppgiftslagen kommer bidra till att ekonomifunktioner i större utsträckning följer reglerna och den kommer att tvinga fram vissa förändringar i arbetssätt och rutiner. Ekonomiavdelningar hanterar generellt stora mängder känslig data, vilket innebär en större risk för att fällas för kännbara bötesbelopp vid en eventuell överträdelse.

Trots detta kan nuvarande processer bara kräva enkla anpassningar snarare än en fullständig översyn.

Rapporterings- och aviseringsrutiner måste upprättas för att kunna rapportera problem så fort de uppstår. Säkerhetsrisker kan reduceras med automatiserade system och processer, vilket eliminerar en av de största felkällorna – den mänskliga faktorn.

Att automatisera nyckelprocesser såsom inköpsadministration och fakturahantering, gör det enklare att uppfylla de nya kraven i GDPR. Genom att automatisera repetitiva arbetsuppgifter och digitalisera fakturaflöden, blir det lättare att uppfylla de nya kraven enligt GDPR.

Klicka här för mer information om hur Palette Software kan hjälpa till att automatisera dina finansiella processer.

 

 

Publiceringsdatum 2017-11-21
Författare
Helene Wahlqvist
Kategori Purchase to Pay
Tillbaka till Purchase to Pay