Förberedelser inför GDPR

Detta inlägg postades i Blogg av

GDPR (General Data Protection Regulation) är EUs mest betydande förändringen av data skydd sedan 1995. Den kommer att bli lag i alla EUs 27 medlemsstater, med likställande av data skydd samt betydligt höjda böter. Man bör omgående genomföra följande fem punkter enligt ISF.

IFS punkter

  • Uppdatera (eller skapa om ni inte redan har dem) sekretesspolicy, rutiner och dokument som planer för IT och Sociala media och gör detta löpande. Dataskyddsmyndigheterna kommer att kunna begära dessa när som helst.,
  • Utse vem som är ansvarig att bevaka och följa upp vad som görs t.ex. kan man ett personuppgiftsombud utses. Om din organisation över 250 anställda eller hanterar mer än 5000 personuppgifter kräver lagen att man utser ett personuppgiftsombud, samt att det finns en budget och att rapportera går direkt till ledningen samt att redovisning sker i årsredovisningen.
  • Varje dataintrång skall anmälas till den berörda dataskyddsmyndighet oavsett om materialet är t.ex. krypterat eller annan skyddsåtgärder är på plats eller sannolikheten för skada är låg. Har ett brott genomförts ska det anmälas.
  • Förbered organisationen på ny krav som ”rätten att glömmas bort”, ”rätt till radering” och ”rätten till uppgifts portabilitet” finns. En strategi som täcker ämnen liksom uppgifter klassificering, bevarande, insamling, förstörelse, lagring och sökning kommer att krävas – och det bör omfatta alla mekanismer genom vilka data som samlas in, inklusive internet, callcenter och papper.
  • Gå igenom och säkerställ att dina system kan hantera och upprätthålla kraven på sekretess under hela livscykeln, oavsett om du köper eller utveckla.

Notera att företag som inte har 250 anställda eller 5000 registrerade har fortfarande samma krav, dock finns det ingen reglering om exakt hur det ska ske. Nu kan man tro att det är en lättnad och ur ett ekonomisk perspektiv är det så klart det, men då träder texten ”nödvändiga åtgärder ska genomföras” eller något liknande in. Inte heller att man har det outsourcat eller att det ligger i molnet tar bort ansvar för att att uppgifterna hanteras korrekt.

Jag vill betona att man måste få ledningen att förstå vad GDPR innebär, att medel avsätts samt att personer utses att både på kort men även lång sikt utses i den omfattning som är lämpligt samt att mindre företag går igenom och säkerställer om deras nuvarande lösningar antingen kraven.

Tidigare inlägg: här.

Artiklar: här, EU.