Det är ingen tvekan om att företag, organisationer och myndigheter i allt större utsträckning vill digitalisera sina utskick för att spara pengar och miljö. Ett hinder på vägen för digitaliseringen är dock säkerheten.

En kanal som hittills har setts som billig och lätt att komma igång med för många typer av utskick är e-post, men den kommer troligtvis användas mindre framöver på grund av skärpt EU-lagstiftning kring hantering av personuppgifter. I den här artikeln beskrivs nuvarande och framtida lagstiftning i frågan samt varför det är troligt att andra digitala kanaler än e-post framöver kommer behöva användas för att skicka ut känsliga försändelser som till exempel lönespecifikationer.

I personuppgiftslagen (PUL) specificeras vilka uppgifter som betecknas som känsliga personuppgifter, samt hur dessa uppgifter ska behandlas. Exempel på uppgifter som räknas som känsliga är information om medlemskap i fackförening och uppgifter som rör hälsa.  Datainspektionen är den svenska tillsynsmyndigheten för personuppgiftsbehandling. På Datainspektionens hemsida uttalas om säkerheten för personuppgifter i e-post bland annat: ”När man hanterar e-post finns det alltid en risk för att andra än den avsedda mottagaren kan ta del av meddelandet. Om man ska skicka ett e-postmeddelande med personuppgifter som inte är känsliga och som ”tål andras ögon” behöver man inte vidta några extra säkerhetsåtgärder. Om e-posten däremot innehåller integritetskänsliga personuppgifter måste man i de allra flesta fall vidta särskilda säkerhetsåtgärder, som till exempel kryptering.”

Verkligheten matchar ej lagstiftningen

Trots att dagens lagstiftning klart och tydligt reglerar vad som gäller för hantering av personuppgifter lever inte alltid verkligheten upp till lagstiftningen. Ett exempel är att många företag idag skickar ut lönespecifikationer via e-post eftersom det upplevs vara billigt, enkelt och lätt att komma igång. En lönespecifikation innehåller dock ofta känsliga personuppgifter, eftersom sjukfrånvaro kan anges samt att bruttolöneavdrag för medlemskap i fackförening är vanligt förekommande. Datainspektionen har inte granskat den specifika företeelsen att skicka lönespecifikation per e-post och har därför inte uttalat något specifikt om detta men det förefaller uppenbart att hanteringen strider mot Datainspektionens allmänna riktlinjer.

Även om en lönesystemsleverantör erbjuder möjligheten att distribuera lönespecifikationer via e-post är det alltid det enskilda företaget som är personuppgiftsansvarigt och därmed är skyldigt att följa gällande lagstiftning. Datainspektionen har idag ingen möjlighet att utdela sanktioner vid brister men när den skärpta lagstiftningen träder i kraft ändras detta, varför företag redan idag behöver se över sina rutiner för hantering av personuppgifter.

Skärpt lagstiftning väntar framöver

För ungefär tre år sedan presenterade EU-kommissionen ett förslag till nya regler för hantering av personuppgifter, den så kallade dataskyddsförordningen. När det nya regelverket väl träder i kraft kommer det att ersätta den nuvarande svenska personuppgiftslagen. Just nu ser det ut som att en slutlig överenskommelse kring förordningen kan nås mot slutet av 2015. Med den planerade övergångsperioden om två år skulle detta innebära att den nya lagstiftningen träder ikraft framåt utgången av 2017.

Sedan förslaget till ny lagstiftning publicerades har många tyckt till om dess innehåll och presenterat ändringsförslag. Datainspektionen har uttalat att de välkomnar många av de tankar som uttrycks i förslaget, bland annat det stärkta personskyddet och införandet av enhetliga verktyg för tillsynsarbetet . Även om tanken är att de nya reglerna på sikt ska leda till besparingar innebär de på många sätt en ökad administrativ börda för de aktörer som behandlar personuppgifter i sin verksamhet. Den nya förordningen ställer stora krav på säkerhet kring behandlingen av personuppgifter. Det införs till exempel krav på dokumentation av riskanalyser, instruktioner och rutinbeskrivningar. Kraven kommer att gälla för all hantering av personuppgifter – nya som gamla, samt såväl stora IT-system som enkla excelfiler.

För att ge företag och myndigheter starka incitament att ta reglerna på allvar införs kraftiga böter för organisationer som gör fel. I det nuvarande förslaget diskuteras böter på upp till 100 miljoner euro eller fem procent av den årliga globala omsättningen för företag. För att undvika dryga böter, som kan delas ut framöver till företag som inte lever upp till säkerhetskraven, behöver rutinerna redan nu ses över.

Säkrare lösningar ersätter e-post

En trolig följd av den nya lagstiftningen är att företag som idag skickar ut känsliga personuppgifter på e-post behöver se över sin hantering för att inte riskera kraftiga böter. Ett exempel är att det troligtvis inte längre kommer förekomma att lönespecifikationer skickas ut per e-post. En chef på en av de större lönesystemsleverantörerna i Sverige uttalar sig om detta: ”Jag tror att mejlen kommer att snöras åt framöver och i så fall kommer vi ta bort den lösningen.” Andra lönesystemsleverantörer erbjuder inte e-postlösningar idag av säkerhetsskäl. En alternativ kanal till e-posten är digitala brevlådor som har hög säkerhet, vilket gör att försändelser med höga säkerhetskrav från såväl myndigheter som banker kan skickas där.

SRF Löns uppdrag är att tydliggöra yrkesrollen och höja statusen för löneyrket, bland annat genom att auktorisera lönekonsulter. En essentiell del i SRF Löns arbete är att se till att löneadministratörer har bra verktyg för att göra sitt jobb. Att lönesystemsleverantörer erbjuder säkra, prisvärda och användarvänliga verktyg för att skicka ut lönespecifikationer digitalt är därför en viktig fråga för framtiden.

Text: Carl Westman, PUL-ansvarig Kivra