I de flesta IT-upphandlingar är det viktigt att ställa krav på dataskydd. Just i detta nu står vi inte bara inför en ny lag om offentlig upphandling. Vi inväntar även den nya Dataskyddsförordningen som ska börja tillämpas den 25 maj 2018 och ersätta nuvarande personuppgiftslagen (PUL). Den tidigare ganska anonyma PUL får nu komma fram i rampljuset, men i ny tappning.
Nya Dataskyddsförordningen innebär hårdare krav på skydd och hantering av personuppgifter. För att verkligen ge incitament till organisationer, både offentliga och privata, att se över sin datasäkerhet för dessa uppgifter har beslutsfattarna tagit i från tårna för de ”böter” organisationer riskerar om de inte sköter sig. Böterna kallas administrativ avgift och innebär en inte så blygsam summa på upp till fyra procent av koncernens globala omsättning alternativt 20 miljoner euro.
Är det möjligt att få till de nya kraven för dataskydd inom ramen för befintliga avtal.
Det kommer nu ställas betydligt hårdare krav på hur information behandlas, lagras och säkras samt även gallras hos företag och myndigheter. Detta kommer innebära ett stort jobb för många organisationer som inte har ordning på sina register. Det handlar främst om att sätta rutiner och skapa metoder för hur personuppgifter hanteras och det gäller att dokumentera allt så det kan bevisas att allt är i sin ordning vid eventuell tillsyn.
En tydlig markering i nya förordningen är att organisationer inte med hjälp av avtal kan luta sig tillbaka och känna sig lugn. Det är alltså inte möjligt att skylla på sin leverantör då organisationen alltid är självständigt ansvarig för sina register. Vi måste med andra ord skriva vattentäta avtal men även vara aktiva under avtalsperioden och se till att återkommande kontrollera att leverantören klarar av att hantera detta enligt vad som överenskommits.
Fick tänka om
Jag har stött på ett exempel där en offentlig myndighet nu måste tänka om i ett påbörjat förändringsarbete i och med den nya lagen. De har lagt ner mycket energi på att få hela verksamheten att använda ett ärendesystem för att samla information i ett system och kunna arbeta sömlöst över organisationen.
Nu måste myndigheten tänka om då den nya förordningen slår fast att bara dem som behöver personuppgiften ska ha tillgång till den. Det accepteras alltså inte att organisationer har system med personuppgifter som många har tillgång till för att det kan vara bra att ha vid vissa tillfällen. Det ska finnas ett syfte bakom varje anställds behörighet att komma åt lagrade personuppgifter, vilket innebär att systemet måste ha en tillräckligt bra inbyggd behörighetsstyrning. Systemen ska som standard vara så integritetsskyddande som möjligt enligt förordningen.
Förutom ett internt arbete att få ordning på dokument och register gäller det också att vi, i våra upphandlingar, redan nu kravställer dataskydd i högre grad än tidigare. Men vi får heller inte glömma att se över de redan befintliga avtalen. Här blir det spännande att se vilket förhandlingsutrymme vi vågar oss ta. Hur stora förändringar kommer det innebära och är det möjligt att få till dem inom ramen för befintliga avtal?
Även systemleverantören har ett ansvar
Kommer leverantörerna begära ersättning för förändringarna eller kan vi begära att de, eftersom de är skyldiga att följa lagen, borde införa detta utan extra kostnad för organisationen? Det är inte bara köparna som står risken utan det ligger även ett ansvar på systemleverantören och även den är tillsynsobjekt enligt förordningen. Vilka möjligheter ger det oss att ställa krav på leverantörerna? Om de inte förhandlar om våra avtal står de själva risken att drabbas av den administrativa sanktionsavgiften.
Glöm inte att informera era kravställare eller ansvariga om vilka förändringar den nya förordningen innebär. Många är tyvärr inte medvetna om vad förordningen kommer att innebära för dem.
Vill du fördjupa dig i kravarbete, utvärdering och förhandling i IT-upphandlingar, i syfte att göra bättre IT-affärer? Gå kursen som Upphandling24 arrangerar ”Fortsättningskurs IT-upphandling” Läs mer här!