• Kund
  • Kontakt
  

Blogg

Säkerhet

juli 28, 2017
Av:

Checklista: 4 steg – Så förbereder ni er för GDPR

I maj 2018 börjar GDPR, EU:s nya dataskyddsförordning att gälla som lag. Vet ni vad ni ska göra för att uppfylla kraven som ställs på er som företag eller organisation? Vet era leverantörer? Här är våra rekommendationer.

Tidigare har vi förklarat vad GDPR innebär. Den här gången vill vi berätta mer om de olika stegen för anpassning till GDPR – vad som är viktigt att tänka på, ge exempel och gå igenom vilka förberedelser som behövs för att kunna uppfylla kraven i den nya lagen.

GDPR innebär kort att det ställs nya krav på företag och organisationer som samlar in personuppgifter. Som en personuppgift räknas data som direkt eller indirekt går att koppla till en individ. Det omfattar även multipla register och ostrukturerad data till exempel system för e-post. Känsliga personuppgifter är till exempel personnummer, genetisk data, samt patient- och journalinformation. 

Är ni redo för GDPR? Såhär förbereder ni er:

1. Vänta inte med förberedelserna till sista stund. Det kan bli både kostsamt och svårt att uppfylla reglerna i förordningen.

Redan nu är det hög tid att agera eftersom det kan ta lång tid att uppfylla kraven i GDPR. Det beror på ert företag eller organisations komplexitet samt antalet personuppgifter som behandlas av er. Som företag behöver ni driva ett kontinuerligt arbete med informationssäkerhet eftersom hotbilden kontinuerligt förändras.

Att börja arbetet i god tid är också viktigt för att det just nu är svårt att säga vad kraven innebär i praktiken. Mycket är fortfarande upp till tolkning eftersom det ännu inte finns någon gällande praxis eller fällande dom. GDPR fastställer att persondata ska skyddas med ”tillräcklig säkerhet”. Detta kommer vara en högre nivå av säkerhet än vad de flesta företag och organisationer har idag.

Har ni inte hunnit anpassa er efter de krav som ställs kan det innebära böter på upp till 20 miljoner euro eller fyra procent av er omsättning.

2. Försäkra er om att beslutsfattare och nyckelpersoner inom er organisation är medvetna om att personuppgiftslagen kommer att ersättas av dataskyddsförordningen.

Se till att er styrelse, ledningsgrupp och produkt- och tjänsteägare är informerade och vet vad den GDPR kommer innebära för just er. Styrelse och ledning är ytterst ansvariga och är också de som kommer hantera eventuella bötesbelopp. Produkt- och tjänsteägare bör kontrollera vilka personuppgifter ni hanterar i era tjänster och om det faktiskt finns ett behov för dem i er organisation.

Ni bör etablera eller justera befintliga ledningssystem, riskhantering samt policys och rutiner för att kunna stötta arbetet med GDPR. Ett ledningssystem som hanterar informationssäkerhet underlättar enormt.

Ni bör ha tillgång till specialistkompetens inom juridik och informationssäkerhet. Till exempel är det rekommenderat att tillsätta ett dataskyddsombud, dvs en fysisk person som är tillsatt i syfte är att kontinuerligt kontrollera behandlingen av personuppgifter. Omfattningen på uppdraget beror på hur mycket personuppgifter ni behandlar, ibland kan det till exempel räcka med en inhyrd konsult.

3. Undersök hur er organisation kommer att påverkas av förordningen och identifiera de områden som ni måste arbeta särskilt med.

internet-security.jpg

En rekommendation är att utgå från att er organisation blir påverkad av GDPR. Kartlägg vilka system hos er som innehåller personuppgifter och sammanställ de leverantörer som behandlar personuppgifter åt er.

Säkerställ att tillräcklig god säkerhet tillämpas utifrån uppgifternas känslighet oavsett om ni hanterar systemen själva eller köper tjänster från leverantörer. Till exempel är ett register med endast e-postadresser inte lika känsligt som uppgifter om personer som har skyddad identitet eller hälsodata.

Utöver utökad säkerhet behöver organisationen behöver justera befintliga system och processer för att kunna tillgodose den registrerades (den som äger personuppgiften) rättigheter. Det innebär den som äger personuppgiften ska kunna få ta del av sina uppgifter, korrigera felaktiga uppgifter, kunna få sina personuppgifter borttagna samt att denne även har rätt att få sina personuppgifter flyttade.

Säkerställ förmåga att rapportera incidenter inom 72h till Datainspektionen. T.ex. om personuppgifter kommit orätta händer ska det rapporteras. Annars riskerar ni böter. Många av er jobbar säkerligen redan med incidenthantering idag, se till att incidentprocessen även innefattar incidenter relaterade personuppgifter.

Ni behöver även förtydliga samtycken i olika former av avtal: Det ska vara tydligt vad ni kommer att göra med personuppgifterna. Samtycket ska vara begripligt, enkelt och tydligt.

4. Ni bör redan nu ta hänsyn till dataskyddsförordningen regler när ni tar fram nya it-system och förändrar befintliga. Det ger en större möjlighet att följa reglerna, höja säkerheten och förhindra onödiga framtida kostnader.

Säkerställ att säkerhet och hantering av personuppgifter är en naturlig del redan från början vid utformande av kravställning inför en implementering eller förändring av ett IT-system. Det är även viktigt att er data fysiskt lagras där lagstiftningen stämmer överens med verksamhetens krav.

Riskerna med GDPR – naturliga fallgropar?

7627332-take-a-risk.jpgSe till så att ni arbetat med ovanstående förberedelsepunkter. Se till att ni verkligen får gehör hos både styrelse och ledningen för att kunna genomföra de förändringsprojekt som krävs. Det behövs förankring i hela er organisation. 

Samtidigt är det viktigt att vara medveten om att GDPR innebär fler krav och högre bötesbelopp än PUL. Men har ni redan arbetat aktivt och efterföljt PUL så ska det inte behöva vara ett enormt jobb att efterfölja de nya kraven.

Tips och avslutning
Vi rekommenderar att ni ser GDPR som möjligheter till förbättring. Säkerhetssystem och metodik som implementeras för att skydda personuppgifter i och med GDPR kan (läs bör) med fördel även används för att skydda företagshemligheter. Detta leder i sin tur till ökad kontroll över information, IT-system och verksamhetsprocesser. Arbetet med GDPR kan helt enkelt appliceras för annat än endast personuppgifter. Dessutom finns det en fördel i att företag och organisationer som inte arbetat strukturerat med informationssäkerhet tidigare blir tvingade nu.

 Avslutningsvis: Samarbete inom den egna verksamheten och samarbetet med era leverantörer och partners är en framgångsfaktor för att lyckas i arbetet med GDPR. 

Läs mer i Datainspektionens vägledning för personuppgiftsansvariga. 

Nyfiken på molnlösningar med datalagring i Sverige? 
Är ni bekväma med att flytta verksamhetskritisk information utomlands - när det finns ett svenskt alternativ? TeleComputing erbjuder säkra molntjänster som produceras från datacenter i Sverige som därmed omfattas av både europeisk och svensk lag. Läs mer om Microsofts nya lokala molnlösning

Kundcase Bättre med Molntjänster

Lämna en kommentar

E-postadressen publiceras inte. 

Följ oss på:

Erik Täfvander, Security, Event & BCM, Manager

Jag är nyfiken och engagerad i arbetet med att förbättra organisationers motståndskraft mot en växande hotbild av avancerad brottslighet, terrorism, naturkatastrofer och beroenden mot kritisk infrastruktur för att kunna bedriva sin verksamhet. Som chef för teamet Security, Event & Business Continuity Management på TeleComputing får jag vara delaktig i mina teams arbete med att hantera med det kända och förebygga det okända inom olika branscher och teknologier.