Basfakta för dig som coach ` - vad gäller? - vad behöver du göra nu GDPR Basfakta för dig som coach ` - vad gäller? - vad behöver du göra nu

Låt oss vara tydliga: Den här presentationen syfta till att på ett överskådligt sätt klargöra hur den nya data-lagen påverkar vår vardag som coacher och hur vi kan förhålla oss till den. Den kommer inte på något sätt att göra anspråk på att vara fullständig och heltäckande kring alla aspekter på GDPR eller vara komplett juridisk rådgivning. Den är tänkt som ett hjälpmedel i dina val men du har själv ansvaret för din verksamhet. GDPR är fortfarande mycket nytt och en hel del justeringar och klargöranden kan förväntas komma under tiden fram till att den träder i kraft den 25 maj och under den första tiden då den är gällande. Den här presentationen baseras på den information vi idag har tillgänglig. I slutet av presentationen hittar du länkar till den information presentationen är byggd på.

Vad behöver jag göra? När du hanterar personliga data måste du följa ett antal grundläggande principer och individers rättigheter kring sina uppgifter och hur de hanteras. The EU General Data Protection Regulation (GDPR, finns i sin helhet här).

Vad är personliga data?   Personuppgifter är all slags information som kan knytas till en fysisk person som är i livet. Typiska personuppgifter är personnummer, namn och adress. Även foton på personer klassas som personuppgifter, till och med ljudinspelningar som lagras elektroniskt kan vara personuppgifter även om det inte nämns några namn i inspelningen.

1.Lagenlighet, Rättvisa och Transparens: Sex nyckelprinciper 1.Lagenlighet, Rättvisa och Transparens: Du har ansvaret för att data hanteras enligt denna princip. I praktiken sker det tex genom att du: a. Informerar när du samlar in data hur du kommer att använda den b. Hanterar data enbart på sätt som kan rimligen förväntas c. Försäkrar dig om att du inte gör något olagligt med den data du hanterar d. Har giltig och rimlig grund för att samla och lagra den data du har i dina system

Sex nyckelprinciper 2. Syfte med lagringen Samla endast data du har ett tydligt syfte med, hantera på sätt som stämmer överens med det syftet och och var tydlig med varför, hur och till vad. Insamlad data ska sedan inte användas till annat än sitt ursprungssyfte.

Sex nyckelprinciper 3. Minimera mängden data Samla och lagra bara data du faktiskt behöver. Begränsa samlaren I dig och håll dig till data som är adekvata, relevanta och begränsade till vad du faktiskt behöver för dina processer.

Sex nyckelprinciper 4. Korrekthet Se till att din data är korrekt och uppdatera vid behov. I praktiken innebär det att du - gör bedömning av rimlig procedur för att försäkra dig om korrekt data och att det är klart och tydligt var du fått den ifrån. -har rutiner för att justera när individ påpekar felaktigheter - du tar ett aktivt och grundat beslut kring behovet att uppdatera.

Sex nyckelprinciper 5.Begränsa lagring Begränsa i både omfattning och tid – lagra bara det dina rutiner visar nödvändigt och relevant. a. Besluta rimlig längd för lagring av alla typer av data I dina system. (ju kortare detso bättre men kom ihåg att även andra lagar kan påverka, tex bokföringslagens krav på verification) b. Rensa säkert, destruera papper, se till att filer verkligen raderas Du avgör vad som är relevant för dig, dokumentera ditt beslut.

6. Integritet och konfidentialitet Sex nyckelprinciper 6. Integritet och konfidentialitet Ditt ansvar att data hos dig lagras och behandlas säkert. Se över IT-säkerheten i din verksamhet. Gå igenom möjliga risker hos just dig och anpassa säkerheten efter typen av data du lagrar och den skada det kan göra om data kommer ut. Tekniska lösningar såväl som rutiner och policies. (ex vem har tillgång till vad?)

Medgivande Det enklaste och vanligaste sättet att försäkra dig om att din datalagring är ok. Ska vara en aktiv handling. Ex kryssruta, signatur el liknande Inte längre ok med tyst medgivande eller inbakat i medgivande om annat. Individen ska tydligt kunna se vad för information du tänker spara, hur och varför. Ge alltid möjlighet att säga nej. Om 3:e person kommer att ha tillgång till data på något sätt. Berätta det och be om medgivande för detta. (Ex vid mentorcoaching, klientlogg) Gäller inte för evigt. Återkoppla och fråga igen om det är länge sedan du fick medgivandet. (kommer i vår certifieringsprocess att lösas genom ny rutin). Det ska vara enkelt att dra tillbaka sitt medgivande.

Personuppgiftsincident Ska rapporteras internt och ageras på inom 72 timmar. Generellt är uppgiften efter en upptäckt eller misstänkt störning ska företaget: 1.Stoppa skada, förhindra ytterligare spridning och återta data som förlorats 2.Identifiera riskerna med störningen och bedöma graden av allvar 3.Kontakta berörda parter om graden av störningen gör det relevant 4.Förhindra att det händer igen.   Dokumentera hur du hanterat störningen!

Individen äger rätten till sin data a.Subject Rights Access - individen kan när som helst fråga dig om vilka data du har lagrade om denne och har rätt att få informationen utan kostnad eller dröjsmål b. Rätten att bli glömd – en individ har rätten att bli helt raderad ur dina system om inte andra lagkrav säger att du måste ha uppgifterna (och i så fall bara så länge det kravet gäller) c. Rätten att få uppgifter rättade d. Rätten att få sina data begränsade e. Rätten att slippa bli behandlad. Du kan inte hur som helst samla och hantera data, ex kundprofilering. Individ som önskar slippa har rätt till det. Vid direktmarknadsföring ex i sociala media, var tydlig med att du kontaktar å yrkets vägnar och begränsa kontakterna utifrån relevans. Får du nej eller blir ignorerad bör du inte kontakta igen. f. Rätten till flyttbarhet – individen har rätt att få data insamlad hos dig (ex persontest) förflyttad till av denne utvald mottagare g. Rätten att komma med klagomål. Det ska finnas en rutin hos dig för hur klagomål på din hantering av persondata enkelt kan lämnas och till vem.

I korthet: Minimera lagrandet och öka tydligheten. Fatta aktiva beslut om vad som är relevant och nödvändigt att lagra. Kommunicera med dem du lagrar data om. Använd aktivt medgivande. Gå igenom riskerna i just din verksamhet och i ditt IT-system. Skapa rutiner för hur du hanterar datalagring och motverkar risker, vad som ska hända vid incidenter och hur du hanterar klagomål.

Din GDPR-policy Gör en förteckning över vilka typer av personuppgifter du lagrar. Var och varför. Tänk här även på kundregister, nyhetsbrev, bokningssystem, lönesystem och liknande. På www.verksamt.se finns en guide som hjälper dig se din egen verksamhet med GDPR-glasögon. Fatta aktiva beslut om hur länge det är relevant att spara olika typer av persondata hos dig och skapa rutin för hur du rensar när tiden är ute. Skriv ned dina beslut och rutinerna för att följa dem. Se över och skriv ned dina rutiner för att obehöriga inte ska se/komma åt kunduppgifter hos dig. Skapa och skriv ned rutiner för att hantera det löpande arbetet och för hur du ska hantera klagomål och incidenter. Om något händer ska det gå fort, antingen kund vill bli glömd eller ett intrång/läckage har skett. Tänk i förväg efter hur olika troliga risk-scenarion ska hanteras OM det händer och notera steg för steg-guider. Avsätt och notera i din policy tid för att återkommande se över datalagringen i din verksamhet.

Se det här som ett bra tillfälle att uppdatera dina rutiner och se till att du med respekt hanterar de personuppgifter du får förtroende att förvalta.

Bra att veta: ICF global kommer att förändra rutinerna inför certifiering så att vi inte längre skickar kopia på klientlogg vid ansökan utan de inrättar en GDPR-säkrad procedur för att hämta in svar från stickprovsklienter. För att lagra klienter i loggen behöver du fortfarande deras medgivande, och from 25 maj aktivt, ex. genom tydlig formulering i din coachöverenskommelse och en signatur eller annan form av aktivt medgivande.

Mer information om GDPR hittar du här: ICF globals rekommendationer för dig som coach: http://icfsverige.se/wp-content/uploads/2018/03/Key-GDPR-Best-Practices-for-ICF-Coaches.pdf GDPR-guide – se över vad ditt företag kan behöva tänka på https://www.verksamt.se/driva/gdpr-dataskyddsregler/gdpr-guiden Hos Företagarna finns samlad och konkret information tillsammans med FAQ, föreläsningar och kurser https://www.foretagarna.se/driva- eget-foretag/gdpr/ The EU General Data Protection Regulation (GDPR, finns i sin helhet här).