Förbered er för GDPR

EU:s nya dataskyddsförordning, GDPR, är på tapeten minst sagt. Den nya förordningen kommer att gälla som lag i Sverige från och med den 25 maj 2018 och därför är det hög tid att börja förbereda er organisation. Bakgrunden till den nya lagen är att EU-medborgare riskerar att förlora kontrollen över sina personuppgifter i takt med …

EU:s nya dataskyddsförordning, GDPR, är på tapeten minst sagt. Den nya förordningen kommer att gälla som lag i Sverige från och med den 25 maj 2018 och därför är det hög tid att börja förbereda er organisation.

Bakgrunden till den nya lagen är att EU-medborgare riskerar att förlora kontrollen över sina personuppgifter i takt med att Internet, sociala nätverk, sakernas internet (IoT) och Big Data används i allt högre utsträckning.

Syftet med förordningen är att skapa enhetliga regler för hela EU, att skydda medborgares rättigheter till sina egna data samt att underlätta för företag som verkar i flera EU-länder. Den svenska regeringen har i dagsläget tillsatt en utredning som ska föreslå hur den svenska lagstiftningen på området bäst ska anpassas till förordningen.

Mycket av dataskyddsförordningens begrepp och principer finns redan i personuppgiftslagens bestämmelser så har ni genomarbetade rutiner och processer för att följa den lagen kommer ni ha en bra plattform att utgå från.

De stora förändringarna i GDPR

  • Den personuppgiftsansvariges ansvar och skyldigheter förtydligas och utökas och de registrerades rättigheter förstärks.
  • Krav på ökad dokumentation då organisationen får ökade skyldigheter att visa att förordningen följs.
  • Sanktionsavgifter på upp till 20 miljoner euro eller 4% av årsomsättningen kan delas ut om en organisation missköter sina uppgifter.

Var börjar vi?

  1. Medvetandegöra organisationen & ansvarsfördelning
    Är beslutsfattare och nyckelpersoner inom organisation medveten om förändringen som kommer och hur hela organisationen kommer att påverkas? Det kan bli både kostsamt och svårt att uppfylla förordningen om ni väntar med förberedelserna till sista stund.
    För upp frågan på ledningsnivå så att ledningen får förståelse för vad dataskyddsförordningen innebär vad gäller både ansvar och konsekvenser.
  2. Vilka personuppgifter hanterar vi och hanterar vi uppgifter för barn?
    Inventera och dokumentera vilka personuppgifter ni hanterar, hur de samlas in och till vem de lämnas ut. Tänk på att även intern information som personalregister räknas som personuppgifter och måste hanteras korrekt.
    Hur kontrollerar ni en persons ålder och hur inhämtar ni förälders samtycke för att registrera en underårig? Enligt förordningen gäller detta om personen är under 16 år gammal men här kan medlemsstaten bestämma en lägre gräns.
  3. Den registrerades rättigheter
    Hur säkerställer ni att ni på ett lätt och säkert sätt kan tillmötesgå den registrerades rättigheter att få tillgång till sin egen data? Se över rutiner och processer för att den registrerade skall kunna:

    1. Få tillgång till sina uppgifter
    2. Få felaktiga uppgifter rättade
    3. Få sina uppgifter raderade
    4. Invända mot att uppgifterna används för direktmarknadsföring
    5. Invända mot att uppgifterna används för automatiserat beslutsfattande och profilering.
    6. Flytta personuppgifterna (dataportabilitet)
  4. Hur hanterar vi personuppgiftsincidenter?
    Ni bör ha rutiner, processer och verktyg på plats för att kunna upptäcka, rapportera och utreda incidenter med personuppgifter.
    Råkar ni ut för intrång eller på annat sätt förlorar kontrollen över uppgifter ni behandlar måste detta dokumenteras och rapporteras till tillsynsmyndigheten inom 72 timmar. Om incidenten kan leda till att personer utsätts för allvarliga risker som t ex diskriminering, id-stöld, bedrägeri eller finansiella stölder måste ni även informera de registrerade. För att kunna leva upp till förordningen är det väldigt viktigt att ha rutiner men framförallt verktyg och tillräcklig insyn och kontroll över sitt nätverk för att kunna upptäcka och stoppa intrång eller dataläckage. Samt att rapportera med väldigt kort tidsfrist.
  5. Skydd i IT-system
    Ni bör redan nu ta hänsyn till förordningens regler när nya IT-system införs eller när ni förändrar befintliga system. Att följa grundläggande principer som att inte samla in mer information än vad som behövs, inte behålla informationen längre än nödvändigt och att inte använda uppgifterna till något annat än vad de samlades in för kommer att göra det enklare för organisationen att följa förordningen. Att bygga in dataskydd i systemen kallas privacy by design och regleras uttryckligen i förordningen.

lila_final-webb2

Hur kan Cygate hjälpa er med GDPR?

Cygate hjälper redan idag kunder med att förbereda sig och sina system för GDPR, det IT-avdelningen kan göra i ett första steg är att se till att man har kontroll över lagrade data, kan upptäcka dataläckage och tidigt upptäcka samt mitigera intrång eller intrångsförsök.

Vi har experter inom informationssäkerhet och IT-säkerhet med lång erfarenhet och vi hjälper er gärna med allt från grundläggande analys, strategi och rådgivning till SIEM-tjänster, logghantering, molnanalyser eller sårbarhetsanalyser.

Fler artiklar inom ämnet GDPR:

Källa till stora delar av texten ovan är Datainspektionens text om förberedelser för personuppgiftsansvariga.