Information om nya EU-lagen GDPR / Dataskyddsförordningen

Vi har pratat med folk som kan det här med GDPR och konstaterat att det från 25 maj 2018 ställs stora krav på företag som hanterar personuppgifter. Om ni är medlemmar i Svenska Resebyråföreningen (SRF) kan ni få mycket hjälp när det gäller vilka rutiner ni måste införa på företaget, de har bra dokumentation om vad som krävs. Det här är till största delen inget Rebus-problem utan gäller företagets rutiner, hur ni bemöter kunderna och frågar om lov för att registrera och behålla deras personuppgifter och att ni dokumenterar hur ni arbetar med det om myndigheterna skulle fråga.

När det gäller Rebus så har vi en del funktioner i systemet för att kunna skydda kunder och deras uppgifter. Ni kan på kunderna i kundregistret markera att de kan avsäga sig utskick och reklam via e-post och att de inte ska komma med när ni skriver ut etiketter för direktadresserad reklam. Men kunderna ska även kunna kräva komplett anonymisering. Därför har vi från version 240 infört funktioner i Rebus som gör att ni enkelt ska kunna radera kunders adressuppgifter, personnummer och telefonnummer. Så länge en resa pågår måste kundens uppgifter finnas och ni måste aktivt ha inhämtat kundens godkännande för att få spara dessa uppgifter. De kunder som INTE godkänner det måste alltså kunna anonymiseras. För de arrangörer som har vår internetboknings-site kommer vi att införa checkboxar som kunderna måste kryssa i för att godkänna att deras uppgifter sparas.

Det mesta av de här nya reglerna gäller på företagsnivå och inte på Rebus-nivå. Ni måste skapa dokumentation på hur ni hanterar de nya reglerna och där är inte vi några experter. Det är mycket juridik inblandat. Svenska Resebyråföreningen har ett bra dokument som beskriver reglerna i detalj. Vi har också en kontakt på datakonsultföretaget Empir som kan anlitas för konsultation om ni är intresserade av det. De har redan arbetat med det här direktivet i två år.

När det gäller nya regler för PCI-DSS certifiering för IATA-resebyråer är det heller inget som ska göras i Rebus, det ligger på företagsnivå eftersom ni manuellt hanterar kundernas kortnummer i t.ex. Amadeus. De nya reglerna har nog tillkommit på grund av den hanteringen och där vet vi tyvärr inte vad ni måste göra. Kortbetalningen som finns som tillval i Rebus behöver inte någon certifiering eftersom kortnumren aldrig lagras i Rebus utan slås in av personalen direkt i ett krypterat internetfönster på skärmen och betalservern står hos Paynova och de är PCI-DSS-certifierade. Kortnumren går alltså aldrig genom Rebus och lagras heller aldrig i databaserna.