Att följa GDPR handlar inte bara om att känna till reglerna, det handlar lika mycket om att kunna visa att man faktiskt gör det. Här blir principen om ansvarsskyldighet avgörande.
Den är grunden som håller ihop hela regelverket och kräver både struktur och bevis. I det här inlägget förklarar vi varför ansvarsskyldighet är så viktig, hur den fungerar i praktiken och vilka dokument som bäst visar att du följer reglerna.
I GDPR finns sju grundprinciper – men den mest centrala och krävande är principen om ansvarsskyldighet. Den innebär inte bara att man ska följa reglerna, utan också kunna bevisa det.
Det handlar alltså om mer än efterlevnad på pappret. Den personuppgiftsansvariga måste aktivt visa hur reglerna följs och vilka åtgärder som vidtas. Goda intentioner räcker inte – organisationen måste bland annat kunna bevisa att både tekniska och organisatoriska skyddsåtgärder är på plats.
Ansvarsskyldighet betyder att gå från ord till handling och skapa en kultur där dataskydd blir en naturlig del av organisationens DNA.
Nästa steg blir därför att förstå hur principen tar form i praktiken – och det gör den framför allt genom dataskydd som standard och inbyggt dataskydd (Privacy by Design och Default)
Dataskydd som standard och inbyggt dataskydd (Privacy by Design and by Default) är ett konkret sätt att uppfylla denna skyldighet. Det är en metodik som kräver att dataskydd inte är en eftertanke, utan en integrerad del av hur system, produkter och processer.
Det är ett proaktivt förhållningssätt och ett löpande, återkommande arbete.
Kopplingen mellan principerna ligger i att man genom att tillämpa dataskydd som standard visar att man agerar ansvarsfullt. Dataskyddsfrågor hanteras inte reaktivt när problem uppstår, utan organisationen bygger systematiskt in skyddet från början och arbetar proaktivt för att förhindra att problem uppstår.
Exempel i praktiken:
Men för att detta inte bara ska bli fina ord krävs något mer, nämligen bevis. Det är här dokumentationen kommer in i bilden.
I slutändan handlar principen om ansvarsskyldighet om att kunna visa att man har följt reglerna, och det görs genom noggrann dokumentation. Varje steg tas för att skydda personuppgifter – från att genomföra en konsekvensbedömning till att utvärdera en ny leverantör. Vid en granskning är dokumentation ofta det starkaste försvaret och visar att organisationen faktiskt tar sitt ansvar.
En uppdaterad registerförteckning och dokumenterade rutiner för incidenthantering är därför mer än ett hjälpmedel – de är konkreta bevis på efterlevnad.
Utan dokumentation kan en organisation ha gjort allt rätt, men ändå inte kunna visa det. Och just det strider mot kärnan i ansvarsskyldighetsprincipen.
Så, vilka delar är allra viktigast att dokumentera? Svaret börjar med registerförteckningen.
Det mest grundläggande verktyget för att visa ansvarsskyldighet är registerförteckningen. Den fungerar som en detaljerad karta över all personuppgiftsbehandling i organisationen och beskriver bland annat:
Att hålla registerförteckningen uppdaterad är dock lättare sagt än gjort. Många organisationer fastnar i egenbyggda lösningar som snabbt blir svåröverskådliga. Med ett digitalt system får du en tydlig struktur och bättre kontroll – något som gör det enklare att följa reglerna och visa ansvar vid en granskning.
En uppdaterad registerförteckning visar att ni har kontroll på dataflödena och är grunden för allt dataskyddsarbete – själva fundamentet för ansvarsskyldighet. Vid tillsyn begär IMY ofta in förteckningen, som är ert främsta bevis på att och hur GDPR följs.
Men registerförteckningen är bara början. För att visa att man arbetar proaktivt krävs även konsekvensbedömningar.
För att visa att man agerar proaktivt är konsekvensbedömning (DPIA) ett avgörande verktyg. När en behandling troligen kommer att leda till en hög risk för individers fri- och rättigheter kräver GDPR att man genomför en sådan bedömning.
En konsekvensbedömning bygger på tre delar:
Genom att utföra en konsekvensbedömning kan den personuppgiftsansvariga organisationen visa att den inte bara reagerar på problem, utan systematiskt förebygga dem – en grundsten i dataskydd som standard och inbyggt dataskydd. Vid tillsyn vill IMY nästan alltid se konsekvensbedömningen, kopplad till personuppgiftsbehandlingen i registerförteckningen.
Problemet är att en DPIA snabbt blir både tidskrävande och svåröverskådlig utan rätt stöd – med ett verktyg som guidar processen blir arbetet betydligt enklare och mer tillförlitligt.
Ansvarsskyldigheten stannar inte vid den egna organisationen. Använder du externa tjänster eller leverantörer för att behandla personuppgifter är du fortfarande ansvarig. Därför är det viktigt att utvärdera leverantörer noggrant.
Genom att granska en leverantörs säkerhetsåtgärder, certifieringar och rutiner säkerställer du att det finns rätt förutsättningar för att skydda personuppgifter och hantera dem på ett lämpligt sätt. Dokumentationen från denna utvärdering blir beviset på att du har tagit ansvar även när data hanteras av tredje part, särskilt vid tredjelandsöverföringar utanför EU/EES.
Men även om leverantörer granskas noga kan incidenter ändå inträffa. Då blir nästa fråga hur organisationen hanterar det oväntade.
Trots alla försiktighetsåtgärder kan en personuppgiftsincident inträffa. Hur den hanteras är avgörande för att visa ansvarsskyldighet. Med en tydlig plan för incidenthantering som gör att man snabbt kan upptäcka, bedöma och rapportera incidenter visar organisationen att den är förberedd.
Dokumentationen av händelseförloppet, bedömningen och de åtgärder som vidtas blir beviset på att man har agerat ansvarsfullt och i enlighet med GDPR.
Tillsammans bildar dessa delar en helhet – en kultur av ansvarsskyldighet.
Tillsammans
Sammanfattningsvis handlar principen om ansvarsskyldighet om att skapa ett system där alla delar samverkar:
Ansvarsskyldighet är i slutändan inte bara en lista av åtgärder, utan ett bevis på en medveten och proaktiv inställning till dataskydd i varje del av verksamheten.
Den 9/10 kommer vår expert hålla i ett webbinarium där alla är välkomna att lyssna och lära sig om GDPR och ansvarsskyldighet i praktiken. Vi kommer gå igenom de viktigaste stegen för att du ska kunna bevisa att er organisation uppfyller kraven.
Webbinariets innehåll
Webbinariet är gratis och riktar sig till alla typer av organisationer. Säkra din plats idag och få de insikter du behöver för att hantera GDPR med självförtroende.
Datum: 9 Oktober
Tid: 09.30 - 10.00
Klicka här för att anmäla dig till webbinariet
Vill du komma igång med en registerförteckning som fungerar i praktiken – och samtidigt vara säker på att du gör DPIA rätt från start? Då får du både struktur i dataskyddsarbetet, tydlig dokumentation för IMY och en trygghet i att ni uppfyller GDPR-kraven på riktigt.
Boka en demo redan idag och få stöd av experter, verktyg och metodik som gör GDPR-arbetet tryggt och spårbart.