GDPR

#1 » 10:41:48, 22-03-2018

Den allmänna dataskyddsförordningen (General Data Protection Regulation (GDPR) (EU) 2016/679) som kommer att gälla från 2018-05-25, finns det några experter här på detta?

Jag har, iofs snabbt, ögnat igenom dokumentationen. Jag är heller ingen jurist. Juridik och verklighet är ju som alla vet, hoppas jag, inte riktigt, och ibland inte alls, samma sak!

Om vi tittar på de system vi har, tex lönesystemet, så är detta inget problem då lagar om skatter och och sånt väger starkare än den personliga integriteten. Även om jag kan känna mig kränkt, sånt är ju inne nu, att skatteverket har sådan koll...

Men kunduppgifter i affärssystemet? Vad gäller här?
I sig, företagsuppgifter är, i stort, inget problem, men hur är det med kontaktuppgifter, där är en del med, med epost, namn och telefon. Detta är uppgifter vi har fått av kunden. Som regel av personen själv.
Enskilda firmor? Dessa har ju ett organisationsnummer bestående av personnummer plus löpnummer. Nu tror jag inte vi sparar detta för enskilda firmor.
Nu gäller ju att fakturor sparas i sju år...

Det känns lite som om att detta är en produkt av jurister för jurister och förr att dessa ska kunna få ytterligare en inkomst att fylla sina redan stinna pengaförråd med.
Skiten är så luddigt skrivet att det kan tolkas lite hur som. Som mindre företag är det, i mitt tycke, bortkastade pengar på tex en jurist, vilket i sig absolut inte är en garanti att man inte torskar.

Samtidigt har detta blivit ett "buzz word" för alla chefer i större organisationer, eller som jag brukar kalla det, hötappsord. Det finns många sådana ord som poppar ett i taget, likt hötappar som ställs ut i en hage med utsvultna åsnor. De rusar till hötappen. När den är slut och det ställs ut en ny, så rusar dom till den. Någon poppar upp ett ord dessa chefer som är utsvultna på karriärvägen rusar dit, fler kommer dit och alla skanderar ordet som ett mantra.
Flummigheten gör att ingen säkert kan avgöra om de har förstått vad det egentligen innebär, inte ens de själva.

Inom IT har det varit många sådan ord genom åren. Data hette det först, men när vanligt folk förstod vad det innebar så blev det ADB. Och för att generalisera mer så blev det till slut IT.
Ett annat var ju multimedia. Jag brukade förklara det med att egentligen papper, telefon och fax var multimedia.
Client/Server var ett annat och "dot net" ytterligare ett. Inte att förglömma outsourcing...

Ja, håjajja, blir lite frusterad av sånt där..

Men är det någon som har bättre kläm (troligen), och kan förklara för en vanlig dödlig...

#2 » 11:10:33, 22-03-2018

Har jobbat med att GDPR säkra oss och det jag gjort är

-Samtycke på webbsidan. Kunden måste samtycka innan registrering av order kan göras, vi har en lagtext där det står vad vi gör åt informationen, han går med det som står där samt att vi kan ta kontakt med erbjudanden som han dock kan avregistrera sig ifrån (lika bra att få det ifrån sig direkt). Det står även vem vi delar information med, fast detta gör kunden själv när han beställer och väljer betalningsmetod och då används något utomstående företag som förmedlar betalning. Huvudsaken är att det finns dokumenterat och att kunden har chansen att läsa det innan samtycke ges.

-Dokumentation av säkerhetsrisker, vi har ett excel sheet med olika saker som kan utgöra en risk för att kunders personuppgifter läcks, allt från hacking till att någon bryter sig in och stjäl datan eller stjäl vår offsite backup. Även riskfaktor (sannolikhet) och förebyggande åtgärder är dokumenterade.

-Vi har även en policy som styr hur vi ska agera om dataintrång sker, vem som ska kontaktas, vad vi bör göra här för att förhindra vidare datastöld (stäng ner nätverket, isolera eventuella infekterade datorer, typ).

-Gjorde även ett flowchart som visar hur information kommer in i vår databas, vart det kan delas och vart säkerhetskopiorna går.

Här kan man läsa lite till:
https://blogg.binero.se/2017/08/snart-ar-gdpr-har/

Saker som är oklara är rätten att bli raderad, som det blev förklarad för mig av en konsult (fast i annat ärende) var att vi som företag har även en skyldighet att behålla uppgifter om transaktioner, och det kan förekomma fall där vi måste ta kontakt ifall det är fråga om en produkt som behöver återkallas och det är fara för hälsa. Min chef bestämde detta var viktigare så vi får se hur det blir. Detta med att få sin information i portabel och allmänt erkänt format vet jag inte heller riktigt, typ räcker det isåfall om vi exportar kundens databasinfo som en CSV fil?

Det kunde även vara möjligt att automatiskt anonymisera gamla kundkonton som inte varit aktiva men det är även oklart med tanke på vad jag skrev ovan. Vi vet helt enkelt inte ännu. Det är för luddigt.

Det kommer nog hamras ut i domstolar bland större företag som det primärt är inriktat mot. Det är även helt oklart hur det blir med saker som samtycker om någon ringer och gör en order via telefon eller i person. Svårt att trycka på någon samtyckeskryssruta då....

#3 » 11:15:41, 22-03-2018

Jo, vi skriver även hur vi skyddar kundens information från att stjälas. T.ex. användarnamn och lösenord krävs för att få tillgång till systemet, vi hashar+saltar (kryptering) av kunders lösenord, använder oss av en brandvägg, antivirussystem på personalens datorer, virusskanner i mailservern.

Också vi dokumenterar vem som har rätt till uppgifterna (säljare, fakturering, kundsupport, ansvarig för datahantering).

Sånadära vanliga IT grejer egentligen, det viktiga är att vi har saker nedskrivet svart på vitt.

#4 » 13:04:42, 22-03-2018

Huvudsakligen är det företag som handlar hos oss.
Men det förekommer privatpersoner, det vanligaste är att dom då handlar i butik, förskottsfaktura eller postförskott.
Majoriteten av dessa körs på samma ett generellt kundnummer. De enda uppgifterna som finns är namn och leveransadress. Men inget för de i butik. Ett fåtal privatpersoner har eget kundnummer, men mest är det enskilda firmor som kan vara ett problem. Weborder är det INGEN ren privatperson som har tillgång till, mig veterligt.
Fast nu när jag går igenom alla organisations-nummer så ger det mig en legitim anledning att radera gammal historik! :mrgreen:

Men det hela är lite som en del hysteriska projektledare. Jag har suttit i projekt där projektledning och management tagit 80-85% av projekt budgeten. Det riktiga arbete var tvunget att minskas för att den ursprungliga implementationen blev för dyr...

#5 » 07:31:20, 23-03-2018

Mycket handlar om att veta vad man lagrar och var. Dataskyddsinspektionen har gjort en checklista med 13 punkter för att organisationer skall bli redo inför 25/5.

https://www.datainspektionen.se/press/n ... ordningen/

Skickat från min iPhone med Tapatalk

#6 » 07:59:06, 23-03-2018

eribi skrev:Mycket handlar om att veta vad man lagrar och var. Dataskyddsinspektionen har gjort en checklista med 13 punkter för att organisationer skall bli redo inför 25/5.

https://www.datainspektionen.se/press/n ... ordningen/

#7 » 15:31:22, 30-05-2019

Ja ha... å så hålles Boston City "gisslan" av hackare.
2019-05-16 publicerade CNN detta - inte hört ett ord om det i svensk press. ...är det månne Sverige som håller Boston i ett elektroniskt järngrepp som ersättning för vår förlorade koloni i Delaware?... Det skull ju kunna förklara tystnaden om det i svensk media :-)

IT "säkerhet" i dessa lystra dager :-)

https://reason.com/2019/05/24/should-ba ... s-hostage/

https://www.ccn.com/bitcoin-ransom-balt ... econd-week

https://www.enigmasoftware.com/robinhoo ... e-removal/

#8 » 21:18:42, 30-05-2019

GDPR är en europeisk lagstiftning. Det har rimligtvis ingenting att göra med vad som händer i Boston.

#9 » 21:26:58, 30-05-2019

Men på grund av GDPR finns det amerikanska sajter som helt slutat släppa in anslutning från Europa.
Andra passar på att kräva att få tillgång till mycket mer än vad de gjorde förr.
Skit blev det med skyddet för privatpersoner.

**#10** » 10:02:04, 31-05-2019

uhm tortap...å -var- tror du -dina- känsliga personuppgifter finns någonstans?...
Kanske över allt i alla datasystem som sammankopplats?...
O vad tror du tyngden i attackerna i städerna i USA ss ex., med Boston ovan ligger i?...

Du handlar glatt med ditt kreditkort över allt - varje gång använder du dina personuppgifter, varje gång registreras DU i ett antal olika databaser, varje gång säljs dina personuppgifter vidare, osv etc mm
För varje gång du exponerar något ss dina personuppgifter ökar sannolikheten för att dessa skall komma att missbrukas mot dig av annan med en faktor xY !...

Att ge sig på dig ger lite utdelning, men att ta sig in i större databaser, ss stat- och kommun, och använda sig av dina, och alla andra i basens, uppgifter -det- ger makte och det kan skada dig långt mer och längre än du tycks inse.
Boston läget visar klart och tydligt att "jag har inte något att dölja" "det händer inte mig" är "i drömmarnas värld".
Alla former av system medför risker. Frågan du har att ställa dig är vilka risker som du personligen föredrar över andra - men för att kunna göra det valet måste du förstå riskerna; och att du inte ser och inser vad Boston historien har för betydelse för -dig- i förhållande till GDRP gör att du inte är klar över IT riskerna vs kontant/pappers riskerna.

Att jag gjorde inlägget om Bosten är tackvare kunden efter mig på Biltema i Jakan. Han "skällde" på mig för att jag inte läst det i tidningarna - slutade prenumerera på SvD när deras svenska språk föll och blev grovt och gravt felaktigt. DN ointressant. Osv. O sist så lades Metro ned för någon månad sedan, så den nyhetskällan försvann också.
När jag sökte på nätet - för att bekräfta eller dementera påståendet om Boston, så var det -besvärligt- att hitta informationen = "tystas ned"
Att tysta ned vad som händer i omvärlden är ett kännetecken för SVT! Därav travestin om vår svenska koloni i Delaware (för du vet väl att Sverige -hade- en koloni på fastlandet i Amerika?!)

Dina GDPR uppgifter ligger alltså så säkert i myndigheters och förtags databaser att du kan vänta dig att annan gör mot dig som de gör mot Boston, genom att hämta dina uppgifter från de parter där du så glatt lämnat ifrån dig dem utan minsta eftertanke på hur de kan och kommer att användas mot dig...

Boston historien är ett skrämmande exempel på sårbarheten för samhället och hur GDPR kan, och kommer att, skada individen direkt och indirekt!

För mig, inom medicin, så hade vi journal register - de lokalerna var låsta. Journalerna var på -papper-. De registrerades vem som hämtade, eller fick kopia av journal. Visst de försvann också mellan arkiv och avdelning mm.
Poängen: journalerna fanns i ett (1) ex.,! Idag finns de i oändlig mängd ex., och "fritt" tillgängliga för alla att läsa (över hela världen); tystnadsplikt = jmf GDPR
Du kommer in på mottagning (sett det på folktandvården) där står en dataskärm, vänd mot väntrummet - där- ska du mata in dina personliga uppgifter (GDPR...) å vad F hände med tystnadsplikten?! Den omfattar även bekräftande eller dementi om -du- har varit på kliniken eller ej! Men si -det- har systemet ändrat på olagligen - du loggas om och om och om igen med dina uppgifter; när du är där, vem du ska till, osv etc mm
Tystnadsplikt? Jo tjena! GDRP - det vet inte ens landstinget vad det är!
Nu var det Boston. Nästa gång kanske det är -ditt- sjukhus och då är det din journal som kan vara fokus i utpressningen.

Vi som varnar för hur saker och ting kan och kommer att användas hånas av dem som inte förstår.
Vi varnade för person nummer - vi kan idag med gott samvete säga: "vad var det vi sa?!"
Vi varnade för icke, på papper, skriftliga avtal - vi kan med gott samvete säga: "vad var det vi sa?!"
osv etc mm

Människans konstruktion, egentligen de högre hjärncentra, skapar ett monster. Alla blir inte monster, men ett fåtal; och de kommer att göra det som majoriteten aldrig skulle göra... och de har en förmåga att få med sig en majoritet av majoriten... när majoriteten väl inser vad som händer/hänt säger de "hur kunde de bli så här???"
...H.C. Anderséns "Kejsarens Nya Kläder"...

Så att du inte förstod hur gisslandhållning av Boston har med GDPR att göra betyder bara att du inte förstått -vidden- av IT världens funktioner och konsekvenser.

Det du -kan- göra för att minska GDPR "attacken" på dig själv är att ta mitt exempel - använd kontanter så långt det är möjligt!
Vägra lämna persondata om dessa inte verkligen är ett måste!
Lämna aldrig ifrån dig känsliga personuppgifter på eller via nätet!
Sista jag stött på är från Stockholmspolisen som bad mig skicka in anmäla i e-post, men personnummer!!! I e-post?!?! Sthlm's polisen fick svar på tal!

**#11** » 10:20:51, 31-05-2019

Jag är utvecklare. Jag jobbar med GDPR-säkrade system till vardags, dvs vi måste tänka på hur vi hanterar data i utveckling, test, produktion. Personuppgifter, löneuppgifter, sjukvårdsjournaler...

**#12** » 18:13:21, 31-05-2019

Såg en kul bild på tråden roliga bilder, tror det var här på maskinisten.

Ett väntrum och sköterskan ska ropa in nästa patient till doktorn.
"Pga GDPR får vi inte ropa upp namn eller personnummer. Får jag be den med svåra hemorrojder att följa med"

**#13** » 18:31:22, 31-05-2019

hahaha

Byråkratin i sitt esse :thumme:

**#14** » 19:43:05, 31-05-2019

Den där gdpr skiten är endast till för att vi ska godkänna att alla företag ska få bruka våra data, för att de ska slippa problem, annars får du inte bruka deras sidor appar mm om du inte godkänner, alltså ett tvingande till att godkänna att dina uppgifter är hos djävulen och att han gör som han vill med dem sen.. Det är min tolkning när man läser villkoren som kommer upp och som man måste godkänna...

**#15** » 21:03:11, 31-05-2019

atlashjul skrev:Den där gdpr skiten är endast till för att vi ska godkänna att alla företag ska få bruka våra data, för att de ska slippa problem, annars får du inte bruka deras sidor appar mm om du inte godkänner, alltså ett tvingande till att godkänna att dina uppgifter är hos djävulen och att han gör som han vill med dem sen.. Det är min tolkning när man läser villkoren som kommer upp och som man måste godkänna...

Det finns en del till. Bland annat möjligheter till att utdöma böter till den som inte sköter sitt dataskydd rätt.
Upp till €20 miljoner eller 4% av årsomsättningen (högsta beloppet gäller)

DC Lindberg. Fackpressen har skrivit en hel del om Boston