Förbered din organisation för GDPR

Den 25 maj, 2018, började EU att tillämpa dataskyddsförordningen (GDPR) för att skydda personlig integritet. På Okta är vi beslutna om att arbeta för våra kunders framgångar. Vi finns här för att hjälpa våra kunder att uppfylla regelverket i GDPR med det omfattande skydd för personuppgifter och säkerhet som Okta Identity Cloud ger. Observera att innehållet på denna sida (inklusive länkar) inte utgör juridiska råd och informationanges endast i informationssyfte. För juridisk rådgivning hänvisar vi till din organisations egna jurister.

Vad är GDPR?

Påverkan på dig

Hur redo är du?

Oktas engagemang

Okta har publicerat ett uppdaterat tillägg om databehandling ("DPA") som innehåller uppdaterade och tillagda bestämmelser för att hjälpa kunderna med sin efterlevnad av GDPR. DPA uppdaterar våra kunders befintliga avtal med Okta och anger Oktas skyldigheter enligt GDPR med avseende på vårt tillhandahållande av Oktas tjänster. Oktas DPA finns tillgängligt på vår webbplats här. På första sidan finns anvisningar om hur Oktas kunder ska göra för att använda dokumentet.

GDPR uppstod till största del som ett holistiskt grepp för att uppdatera befintlig, disparat och bitvis motstridig lagstiftning och förordningar i EU och för att stärka skyddet för medborgarnas personuppgifter mot bakgrund av den snabba tekniska utvecklingen, ökande kommunikation och globalisering och mer komplexa internationella överföringar av personuppgifter. GDPR ersätter en äldre blandning av nationella dataskyddslagstiftningar som gäller i nuläget med en enda allomfattande lag som är juridiskt gällande i alla EU:s medlemsländer.

Mer specifikt reglerar GDPR "databehandling" vilket innefattar insamling, lagring, användning och överföring av EU-medborgares personuppgifter. Alla organisationer (oavsett om de är baserade i EU eller har kontor i EU eller inte) som behandlar EU-medborgares personuppgifter måste följa GDPR. Observera att EU:s definition av “personuppgifter” i GDPR är så allmänt hållen att lagen omfattar all information som rör en identifierad eller identifierbar individ.

GDPR reglerar organisationers insamling, behandling och lagring av EU-medborgares personuppgifter. Personuppgifter innefattar all information som kan identifiera en viss individ.Vissa personuppgifter som regleras av GDPR är ganska självklara, såsom e-postadresser och anställningsnummer. Men det är dock inte så enkelt. GDPR reglerar också information som kan utpeka en viss person så beroende på omständigheterna kan det även omfatta data om platser och beteenden. Lagen skrevs för att vara framtidssäker så den specificerar inte någon lista över typer av personuppgifter. I allmänhet räknas alla data som identifierar en EU-medborgare som personuppgifter.

GDPR gäller globalt för all insamling, lagring eller behandling av personliga data rörande EU-medborgare. Den klassificerar de som gör detta antingen som personuppgiftsansvarig eller personuppgiftsbiträde. I stort sett kan dessa kategorier definieras enligt följande:

En personuppgiftsansvarig utövar kontroll över behandlingen av personuppgifter och avgör vilka data som ska samlas in.

Ett personuppgiftsbiträde agerar som underställd personuppgiftsansvari för att samla in, lagra, hämta eller ta bort personuppgifter.

Den största potentiellt negativa konsekvensen för överträdelse av GDPR är möjliga böter och skador av organisationens ställning inför anställda, affärspartners, kunder och anda aktörer vars personuppgifter den hanterar.

87 % av CIOs är oroade för att deras organisationers nuvarande principer för informationssäkerhet är otillräckliga för att uppfylla de tuffa kraven i GDPR

– Rapport från Egress Software Technologies, 2016

Data från tredje part

Inkluderar personuppgifter om EU-medborgare såsom personuppgifter från organisationens kunder eller partners.

Data i din egen organisation

Inkluderar personuppgifter om EU-medborgare såsom personuppgifter om organisationens anställda.

GDPR innehåller mycket och artikel 29-gruppen, en EU-organisation som hjälper till med implementeringen av regelverket, fortsätter att ge detaljerade råd till företag om lagens omfattning och genomdrivande. Det finns trots det flera viktiga punkter som företag måste ta med i beräkningarna för att uppfylla regelverket.

Data i din egen organisation

Se till att du kan lokalisera, korrigera, ge kopior av och radera EU-medborgares personuppgifter som din organisation samlar in, behandlar eller lagrar. EU-medborgare har enligt GDPR exempelvis större befogenheter att begära att organisationen som lagrar, behandlar och kontrollerar deras personuppgifter raderar dessa förutsatt:

De inte längre behövs för sitt ursprungliga syfte
Medborgaren återkallar sitt samtycke
Medborgaren har invändningar mot hur deras data behandlas

Se till att kunna överföra personuppgifter på begäran

Ett annat viktigt GDPR-krav är behörighet till uppgifter och dataportabilitet.

En EU-medborgare måste kunna överföra sina personuppgifter från ett system till ett annat utan hinder från personuppgiftsansvarig. Personuppgiftsansvarig måste lämna ut dessa data till individen i ett vanligt förekommande öppet elektroniskt format.

Vi betraktar GDPR både som ett viktigt steg framåt i att förenkla och förena krav på dataskydd över hela EU, och som en möjlighet för Okta att förstärka vårt mångåriga åtagande att använda bästa principer och arbetsmetoder för dataskydd.

Okta följer GDPR i våra tjänster till kunder. Vi har noga analyserat kraven i GDPR och baserat på vad vi kommit fram till har vi gjort förändringar av våra produkter och tjänster, vår dokumentation och våra avtalshandlingar för att hjälpa våra kunder att uppfylla GDPR-kraven.

Visserligen kan inte Okta lösa alla utmaningar med GDPR men hantering av identitet och åtkomst med en produkt som Okta kan ge en stark grund för efterlevnad av GDPR och kan hjälpa dig att minska riskerna. Konsultera den egna organisationens jurister för att få kunskap om hur GDPR påverkar verksamheten.

År 2016 använde en genomsnittlig anställd aktivt 36 molntjänster. Det genomsnittliga företaget använde över 1 400 molntjänster.

– 12 Must-Know Statistics on Cloud Usage in the Enterprise, Skyhigh

Kom ihåg att alla som hanterar EU-medborgares personuppgifter i din organisation, även återförsäljare, partners och appar, kan påverka organisationens totala riskprofil. Okta ger en enhetlig översikt och insyn i användningen av personuppgifter vilket kan hjälpa till att uppfylla kraven på säkerhet och regelefterlevnad för både ditt företag och dess kunder.

Vår plattform hjälper både den enskilda användaren och stora företag att följa GDPR-kraven:

IAM för storföretag

Holistisk säkerhet och regelefterlevnad för anställda och partners som organisationen arbetar med. Till exempel placerade Flex ut Okta till sina leverantörer och anställda.

Läs mer