Verksamhetsnytta Compliance

GDPR: 12 steg till en konkret handlingsplan för IT-avdelningen

Den nya EU-gemensamma dataskyddslagstiftningen GDPR tvingar alla organisationer som hanterar personuppgifter att förändra sitt arbetssätt. Här är 12 konkreta delar du och din IT-avdelning bör känna till.

IT-avdelningen spelar en central roll när GDPR ställer krav på att alla organisationer måste anamma ett helt nytt tänk kring personuppgifter. Tankar som i nästa steg måste omsättas i styrdokument och policys, utbildningar, lämpliga tekniska lösningar och fortlöpande analyser. I mångt och mycket behöver hela organisationen anpassa sig till den nya lagstiftningen, men i de flesta fall hamnar mycket av det här arbetet på dig och din IT-avdelning.

För att underlätta för dig har vi sammanställt en checklista i 12 steg med handfasta råd och åtgärder för hur du kan förbereda din organisation för GDPR.

1. Skapa en tydlig ansvarsfördelning

Först och främst behöver du ta ett tydligt ägarskap genom att fastslå processer, roller och ansvar avseende hur och varför personuppgifter hanteras och lagras i din organisation. Tydliggör och balansera ansvaret mellan personuppgiftsansvarig och personuppgiftsbiträde och sätt er in i betydelsen av ett dataskyddsombud.

2. Behöver du ett dataskyddsombud?

I GDPR finns ett fastställt krav på att organisationer som hanterar personuppgifter i större skala måste ha tillsatt ett dataskyddsombud som ansvarar för frågor som rör GDPR och dataskydd.

Datainspektionen har satt upp en enkel checklista för vilka organisationer som måste ha ett dataskyddsombud. Om du svarar ja på en av dessa tre frågor berörs du av kravet:

  1. Är ni en myndighet eller en folkvald församling, det vill säga ett offentligt organ?
  2. Har ni som kärnverksamhet att regelbundet, systematiskt och i stor omfattning övervaka enskilda personer?
  3. Har ni som kärnverksamhet att behandla känsliga personuppgifter eller uppgifter om brott i stor omfattning?

Läs mer hos Datainspektionen

3. Kontrollera dina leverantörsavtal

Se över alla befintliga leverantörsavtal och säkerställ att de är uppdaterade med personuppgiftsbiträdesavtal som är GDPR-anpassade. Försäkra dig också om att eventuella pågående upphandlingar tar GDPR i beaktande och inkluderar uppdaterade personuppgiftsbiträdesavtal. Är du det minsta osäker bör du omgående ta en diskussion med dina leverantörer för att säkerställa att de GDPR-anpassat sina tjänster och det inte råder några tveksamheter om roller och ansvarsfördelning.

4. Ta fram en övergripande policy

Ta fram en övergripande policy för dataskydd som beskriver mål, styrning, organisation och ansvar för dataskyddsarbetet. Kartlägg och revidera befintliga granskningsmodeller, säkerhetssystem och intrångspolicys samt definiera ansvarsområden så att de möter GDPR:s krav på ansvarsskyldighet. 

Ansvarstagande är en av de viktigaste grundprinciperna med GDPR. Därför måste ni säkerställa att allt ert arbete kring dataskydd utmynnar i ett tydligt ansvarsförhållande. Till exempel måste ni ta ansvar för personuppgifter även efter att dessa har outsourcats eller delats externt. Organisationer måste därför ha system som vet exakt vilken data som är delad och med vilket syfte.

5. Få koll på “privacy by design” och “privacy by default”

I GDPR ställs höga krav på att dataskydd ska genomsyra allt ni gör. Detta innebär att ni ständigt behöver ha två begrepp i bakhuvudet: Privacy by design och Privacy by default:

  • Privacy by design innebär att integritetsskydd och säkerhet ska sättas i förarsätet vid all utveckling – och inte hanteras som ett nödvändigt ont som måste läggas till i efterhand, något som tyvärr ofta är fallet i dag.
  • Privacy by default innebär som namnet antyder att bästa tänkbara säkerhet alltid ska vara standardkonfigurationen och inget som användaren måste slå på manuellt.

6. Utbilda

Alla i organisationen ska kunna känna sig trygga i åtminstone grunderna i GDPR och de ska veta till vem de kan vända sig för ytterligare frågor och rådgivning.

En grundbult i ditt GDPR-arbete är därför utan tvekan utbildning och att sprida kunskapen i hela organisationen. Se till att prata med alla delar av din organisation och utbilda dem om vilka krav som ställs i GDPR och vilka konsekvenser misskötsel kan få. Skapa ett medvetande om hur förändringarna påverkar just er. Om du har tillsatt ett dataskyddsombud är utbildningsinsatser en viktig del av uppdraget.

7. Gör en konsekvensanalys

GDPR ställer krav på att alla som hanterar personuppgifter ska genomföra en omfattande konsekvensanalys kring hanteringen av denna information. Konsekvensanalyser görs för att identifiera eventuella befintliga risker som finns i er infrastruktur och är en förebyggande åtgärd för att minimera framtida skadeverkningar och kostnader.

Genom att ni själva identifierar svaga punkter kan ni också i ett tidigt skede åtgärda dessa eller säkerställa att personuppgifter inte hanteras och hålls strikt åtskilda från dessa sårbarheter.

8. Skapa en incidenthanteringsplan

Analyserna av risker och konsekvenser ska i sin tur utmynna i en tydlig incidenthanteringsplan som ni kan tillämpa om ni skulle råka ut för något. Vid ett eventuellt dataintrång är det av allra största vikt att omedelbart veta vad som ska göras, hur det ska göras och vem som ansvarar för det. Genom att veta vad ni ska göra och agera därefter ökar era möjligheter att minimera skadeverkningarna och risken för att personuppgifter äventyras.

9. Lär känna era data

Lär känna era data fullt ut. Vikten av detta kan inte nog betonas. Dokumentera därför noga hur, var och varför ni behandlar personuppgifter. Vilken typ av data samlas in? Hur samlas den in, överförs och lagras? Hur skyddas dessa data mot missbruk och intrång? Vem eller vilka i organisationen har åtkomst till informationen?

10. Minimera antalet personuppgifter

Ni bör därför alltid sträva efter att både minimera antalet personuppgifter ni hanterar och tiden ni lagrar dem. Kom också ihåg att ni måste kunna ge en tydlig motivering till varför vissa uppgifter samlats in och lagrats – och i GDPR är svaret ”för att de kan vara bra att ha” på inga sätt en godtagbar motivering.

Vet du med dig att din organisation sitter på massor av listor över potentiella kunder, så kallade ”prospects”, är det hög tid att gallra bort sådana. Detsamma gäller gamla inaktuella kundregister. Bestäm när och hur ofta gallring av sådana ska ske.

11. Sätt övervakningsrutiner

Fastställ rutiner för att övervaka filer och mappar som innehåller personuppgifter så att alla intrångsförsök kan identifieras omedelbart och rapporteras. När ni väl skaffat en, förhoppningsvis, perfekt kontroll över vilka delar av er organisation och vilka av era system som hanterar personuppgifter bör ni tydliggöra ansvarsfördelningen så att alla vet vem eller vilka som ansvarar för att informationen hanteras och skyddas på rätt sätt.

12. Testa, testa, testa

Genom att kontinuerligt testa och bedöma hur väl ni lever upp till er dataskyddspolicy och era integritetsriktlinjer kan ni säkerställa att dessa faktiskt fungerar i praktiken. Testandet bör omfatta allt från hur ni hanterar att enskilda personer begär ut information till hur ni registrerar incidenter och gallrar era register. 

Er policy för dataskydd måste vara applicerbar överallt i organisationen och den måste vara enkel att fortsätta tillämpa och anpassa i framtiden om ni skulle omorganisera, utöka verksamheten eller förändra hur eller med vad ni arbetar.

En nyckel är att förstå att arbetet med dataskydd inte är någon tentamen som ska klaras av innan den 25 maj 2018, utan att det är ett ständigt pågående arbete som alltid måste beredas plats i organisationen.

Besök får sida om GDPR-efterlevnad för IT för mer information och vägledning och vår lösningssida där vi samlat de lösningar som kan hjälpa er organisation att uppfylla kraven i dataskyddsförordningen.

Frågor och funderingar om hur du kan förbereda er IT-miljö för GDPR?
Hör av dig till oss på Inuit så hjälper vi dig gärna. 

Besök vår kunskapssida om GDPR

 

Mattias Sundberg

Mattias jobbar som leveransansvarig på Inuit. Nya utmaningar driver honom framåt! Framför allt att utveckla företags och organisationers sätt att arbeta med IT. Mattias tycker om att hitta lösningar och vägar som gör arbetsvardagen smidigare och mer effektiv för våra för kunder.