GDPR - 5 förberedande steg

Publicerad: 2016-06-21 av Draftit #Personuppgifter #EU #Internationellt
Beräknad lästid för inlägget: ca. 6 minuter

GDPR 5 stegBeslutet om en ny dataskyddsförordning är nu fattat i EU. Företagen och myndigheterna har två år på sig att se över alla sina behandlingar av personuppgifter innan de behöver följa den nya lagstiftningen den 25 maj 2018.

Men låt inte övergångsperioden lura dig att vänta med att agera. Det kommer vara mycket att göra för de allra flesta och många åtgärder kan och bör förberedas redan nu.

– Argumentet att man inte vill lägga tid och resurser på att förbereda något som man inte vet hur det kommer att se ut, eller när det kommer, kan man inte använda längre. Nedräkningen har börjat och det är ont om tid! I värsta fall blir det väldigt dyrt om man inte agerar. Förutom dataskyddsförordningen är ny svensk lagstiftning på väg. Vi följer utvecklingen och sammanfattar den för våra kunder. Det finns några åtgärder som vi rekommenderar och som man absolut bör vidta redan nu, säger Oscar Rudby, VD på Draftit.

Lotta Kavtaradze, expert hos Draftit och konsult i dataskyddsfrågor, instämmer och pekar på vikten av att ha framförhållning.

– Det är hög tid att redan nu sätta igång med förberedelserna inför de nya reglerna. Om du möts av argumentet att det är gott om tid, tänk på följande: Följer ni verkligen den lagstiftning som finns idag? Har ni full kontroll på det? Vi brukar rekommendera fem åtgärder som man redan nu kan börja arbeta med, både för att revidera sitt sätt att följa PUL och inför den kommande Dataskyddsförordningen, säger Lotta Kavtaradze, expert hos Draftit.

5 förslag för att underlätta inför GDPR

Här är de fem förslagen på sådant som du redan nu kan göra för att underlätta och förbereda inför den nya lagstiftningen.

1. Gör en inventering

Om ni inte redan har gjort en nulägesanalys, är detta det första som vi rekommenderar. Inventera alla era behandlingar av personuppgifter och upprätta så kallade registerbeskrivningar. Vad är det ni gör idag med personuppgifter, varför och hur gör ni det? Det gäller nya och gamla behandlingar, stora IT-system som enkla Word- och Excel-filer. Därefter gör ni en juridisk utvärdering av resultatet, noterar bristerna och tar fram åtgärdsplaner. Nulägesanalysen ger er ramen för det fortsatta dataskyddsarbetet. Alla grundläggande krav i PUL finns även i den nya förordningen.

2. Se över leverantörsavtal och tjänstevillkor

Ni har redan idag ansvar för vad era IT-leverantörer gör, och dessutom för vad deras underleverantörer (och underleverantörernas underleverantörer) gör med era personuppgifter. Ta fram avtalen med era IT-leverantörer och kontrollera att de uppfyller de krav som dataskyddsförordningen ställer på biträdesavtal. Är ni på gång att outsourca eller upphandla nya IT-system eller IT-tjänster, ska ni självklart ta hänsyn till de nya reglerna redan nu. Annars kanske investeringen är bortkastad eller blir betydligt dyrare än väntat.

Om ni är IT-leverantör – tänk på att ni blir ett tillsynsobjekt under den nya lagstiftningen och får ett skadeståndsansvar. Ni omfattas av de stränga bestämmelserna om ekonomiska sanktioner och är skyldiga att leverera IT-system där Privacy by design har iakttagits.

3. Utse en person som ansvarar för dataskyddsfrågorna

Många organisationer blir skyldiga att utse ett dataskyddsombud när dataskyddsförordningen blir verklighet, och de allra flesta behöver göra det för sin egen skull om inte annat. Planera för resurser i form av tid, pengar och utbildning. Gör en behovsanalys och fundera på om ni har någon lämplig person bland personalen eller om ni ska rekrytera. Har ni utsedda informationsägare och liknande roller som kan stödja dataskyddsarbetet? Har ni rutiner för att ta hänsyn till dataskyddsfrågorna på ett tidigt stadium i tjänsteutveckling och vid förändringar på IT-området?

4. Inled arbetet med att ta fram riktlinjer och dokumentationer

Dataskyddsförordningen kommer att ställa högre krav på att ni kan visa att ni har tänkt igenom dataskyddsfrågorna. Det kommer att ta tid att ta fram denna dokumentation.

  • Börja göra konsekvensanalyser åtminstone för era större IT-system utifrån behov, hot, risk och sårbarhet. Det kommer bli ett krav att ni kan visa upp att ni har gjort analyser för integritetskänsliga system/register och system med stora mängder personuppgifter.

  • Ta fram en utförlig registerbeskrivning för alla era behandlingar av personuppgifter. Om ni exempelvis använder Datainspektionens relativt enkla blankett menar vi att de frågorna och svaren inte räcker, det finns många fler frågor att ta ställning till och dokumentera. Detta är ett led i nulägesanalysen.

  • Rutinbeskrivningar för behörighetstilldelning, bevarande och gallring, registrering i fritext, hantering av e-post och mobila enheter är bara några av de dokument som ni kommer att behöva ta fram. Det går alldeles utmärkt att göra det nu, och egentligen borde ni redan ha gjort det.

  • Se över alla era informationstexter. När media nu börjar skriva om dataskyddsfrågor så blir fler kunder och anställda intresserade. Se till att kunna besvara deras frågor. Uppdatera er kommunikationsavdelning och Kundtjänst på vad som händer på dataskyddsområdet så att de är beredda på frågor.

5. Utbilda all personal som är inblandade i dataskyddsfrågorna

Medvetenhet och utbildning är en förutsättning för ett gott integritetsskydd. Lägg grunden för en levande dataskyddsdebatt inom organisationen genom att lyfta upp frågorna och ta personalens och kundernas synpunkter på allvar.

 

Vill du veta hur du kan förbereda ditt arbete inom dataskydd?

Vi har tagit fram ett faktablad med information om hur du kan förbereda dig och lägga upp ditt dataskyddsarbete.

Ladda ner faktabladet här

Läs om våra Dataskyddsprodukter

Våra lösningar hjälper dig med bland annat kvalitetssäkring och utvärdering av organisationens Dataskyddsarbete. Du får tillgång till lagtolkningar, dokument, detaljerade guider och har möjlighet att ställa dina frågor till våra jurister. Dessutom har vi smarta verktyg som kan hjälpa dig med registerförteckning.

Läs mer om produkterna här