Månad: oktober 2018

  • Dataskydd i IT-upphandlingar – två nya regelverk

    Dataskydd i IT-upphandlingar – två nya regelverk

    Pernilla Norman advokat, grundare och delägare, Advokatfirman LexIT har arbetat med offentlig upphandling och särskilt inom telekom, i cirka 15 år. Idag forskar hon också på ämnet LOU kopplat till GDPR. I blogginlägget berättar hon mer om frågorna hon tittar på.

    Digitalisering i tiden

    Digitalisering är ordet på allas läppar. Såväl offentlig som privat sektor befinner sig i början på en mycket stor digitaliseringsresa. Exempelvis har riksdagen nyligen beslutat om en ny lag som innebär obligatorisk elektronisk fakturering vid offentligt upphandlade kontrakt. Lagen innebär att från och med den 1 april 2019 (nej, det är inget aprilskämt) blir alla leverantörer till offentlig sektor skyldiga att fakturera med e-faktura (Lag (2018:1277) om elektronisk fakturering till följd av offentlig upphandling). Andra exempel är möjligheterna att göra digitala läkarbesök, dvs läkarbesök genom mobiltelefon och surfplattor samt möjligheterna för privatpersoner till elektroniska hantering av myndighetspost. Digitalisering ligger i tiden! En grundläggande förutsättning för digitaliseringen är att det finns en generell tilltro till den digitala värden. Tilltron måste vara hög till såväl tekniken och den tekniska säkerheten i de digitala systemen, som till själva hanteringen av information och uppgifter i dessa system. Detta ställer stora krav på det sätt på vilka system byggs, den teknik som används, men också på regelverken. För offentlig sektor innebär den tid vi nu befinner oss i att det ställs nya krav bland annat vid upphandling av IT.

    Som en del av ett forskningsprojekt tittar jag särskilt på samspelet mellan LOU och GDPR – dataskydd i offentliga upphandlingar.

    LOU och GDPR

    Inom en tid av ett och ett halvt år har vi fått två nya regelverk som är av grundläggande betydelse för IT-upphandlingar. Båda har sin grund i EU-rätten. Den nya upphandlingslagstiftningen som började gälla den 1 januari 2017, införlivar EU:s upphandlingsdirektiv i svensk rätt. Dataskyddsförordningen (GDPR) är en ”EU-lag” som började tillämpas den 25 maj i år.

    Hur påverkar GDPR upphandlingar?

    Dataskyddsförordningen ställer höga krav på hantering av personuppgifter. Med ökad digitalisering följer att personuppgifter hanteras i olika IT-system i ständigt ökande grad. System som på olika sätt används i och för offentlig verksamhet behöver generellt upphandlas enligt upphandlingslagstiftningens regler. För upphandlande myndigheter gäller det att säkerställa att GDPR:s krav uppfylls i den dagliga verksamheten. Detta innebär bland annat att myndigheter redan i kravställning i upphandlingar måste beakta GDPR och ställa krav som gör att beställarens skyldigheter enligt GDPR kan upprätthållas i användningen av det IT-system eller den IT-tjänst som upphandlas. Hur kan man exempelvis i ett upphandlingsunderlag säkerställa framtida uppfyllelse av GDPR:s krav på inbyggt dataskydd (privacy by design och privacy by defalut)? Det finns situationer där GDPR kan påverka redan valet av upphandlingsförfarande. Exempelvis kan upphandling av en molntjänst där personuppgifter kommer att hanteras i större omfattning, i vissa fall tänkas motivera att upphandlingen genomförs som en förhandlad upphandling med föregående annonsering eller konkurrenspräglad dialog.

    Ett annat område som inte är helt enkelt att hantera är de personuppgiftsbiträdesavtal som ofta behöver träffas vid upphandling av IT-system och tjänster. På ett generellt plan har forskningen hittills visat att denna typ av avtal kommer att behöva bli mer situationsanpassade och mindre standardiserade än vad som nu är vanligt. Det är också intressant att konstatera att det mesta talar för att man ska använda leverantörens personuppgiftsbiträdesavtal. Detta kan få många upphandlare att reagera starkt. Men saker och ting är inte alltid som man tror, vilket är en spännande del av forskningen.

    Slutligen tar jag upp GDPR-frågor vid användning av de ”Nationella ramavtalen”, dvs de ramavtal som har upphandlats av Statens inköpscentral vid Kammarkollegiet och SKL Kommentus inköpscentral. En stor del av offentliga myndigheters IT-upphandlingar görs genom avrop från dessa ramavtal. Det är därför intressant att titta närmare på vilka frågor GDPR väcker för de avropande myndigheterna.

    Vill du veta mer?
    Fördjupa dig ytterligare i dessa frågor föreläser Pernilla Norman på kursen IT-upphandling med fokus på GDPR-krav och informationssäkerhet – Läs mer och anmäl dig här!

     

  • Så bidrar IT till affärsutvecklingen

    Charlotte Harald, seniorkonsult på CME Management Consulting är moderator för IFI:s kommande konferens Framtidssäkrad IT-organisation. Hon träffar många ledare och chefer inom IT i sitt arbete och vi ställde några frågor till henne kring vilka utmaningar hon ser.

    Du möter många CIO:er och andra chefer inom IT, vilka upplever du är deras främsta utmaningar just nu?
    GDPR är fortfarande en het fråga men högt upp på agendan står annars digitalisering och tillgången till data. En annan utmaning för många är tillgång till kompetens, inte minst avseende UX, analytics och AI.

    Ibland är det svårt för en IT-chef att få gehör för sina frågor i ledningsgruppen. Vilka är dina bästa tips för att få fram hur IT bidrar till affärsutvecklingen?

    • Bygg relationer med nyckelpersoner
    • Prata värde och effekter, inte bara kostnad
    • Koppla IT till företagets mål och strategier
    • Häng på pågående förändringsarbete, var proaktiv och kom med förslag.

    Vilka är dina förväntningar på konferensen Framtidssäkrad IT-organisation den 25 oktober?
    Jag hoppas få lyssna på intressanta tankar och exempel från verkligheten. Konferens ger ju dessutom många tillfälle till möten med spännande människor.

    Läs mer om Framtidssäkrad IT-organisation och boka din plats på konferensen här!

  • Dataskyddsombud – vad behövs för att lyckas i den nya rollen?

    I samband med att nya dataskyddsförordningen har trätt i kraft behöver många företag, organisationer och myndigheter utse ett dataskyddsombud (DSO). För många är det obligatoriskt för andra att rekommendera. Ombudets roll är att kontrollera att dataskyddsförordningen (GDPR) efterlevs inom organisationen genom att till exempel utföra kontroller, informations- och utbildningsinsatser.

    IFI har just avslutat den första kursomgången av utbildningen Dataskyddsombud– om rollen, ansvaret och det praktiska arbetet och vi ställde några korta frågor till Kennet Wahlberg, Senior Advisor Information Security, MSc, BSc på Enfo som deltog vid kurstillfället.

    Varför valde du att gå IFI:s kurs Dataskyddsombud? 

    I min konsultroll så har jag de senaste åren jobbat mycket med att assistera både min arbetsgivare och våra kunder att utveckla sin förmåga att efterleva GDPR. Till stora delar är jag självlärd och jag kände att jag behövde få en kurs som gav mig överblicken kring Dataskyddsombudets roll. Allt för att bättre kunna stödja våra kunder nu när det är på allvar och de måste kunna påvisa efterlevnad.

    Vilka var de viktigaste lärdomarna du fick med dig?

    Att mycket är fortfarande osäkert och att mycket kommer att fastställas via avgörande i domstolar och myndighetsutlåtande de komma de åren. Att byggandet av GDPR efterlevnad är ett kontinuerligt arbete som måste göras varje dag. Och att Dataskyddsombudet inte kan lösa allt själv. De behöver ha hjälp av alla sina medarbetare och ha en förmåga kommunicera med alla.

    Hur tror du att du kommer kunna tillämpa det du har lärt dig i ditt jobb? 

    Jag kommer att kunna tala om dessa saker med en större auktoritet och självförtroende eftersom jag fått med mig många bra exempel och argument från samtalen med de andra deltagarna under kursen.

    Läs mer om utbildningen och säkra en plats på kurstillfället 29 november!