Vilka områden behöver du se över inför dataskyddsförordningen, GDPR?
2017-02-27
Den 25 maj 2018 träder EU:s nya dataskyddsförordning ”General Data Protection Regulation”, GDPR, i kraft. Förordningen ersätter personuppgiftslagen. Göran Laxén är en av våra specialister på området och delar med sig av några tips på hur du bäst förbereder en smidig implementering, hanterar utmaningarna med GDPR och slipper sanktioner.
1) Förstudien ger svar på nuläget
Genom förstudien får ni en bra överblick av ert nuläge i förhållande till kraven i dataskyddsförordningen, vad som behöver åtgärdas och i vilken ordning.
En förstudie bör bland annat innehålla:
- En förteckning över vilka personuppgifter ni behandlar
- En beskrivning av era nuvarande processer samt hur dessa är dokumenterade
- En kartläggning av organisationen som visar vilka personer, funktioner eller aktörer som hanterar personuppgifter
- En genomgång av vilka IT-system som lagrar personuppgifter samt hur dessa kommunicerar internt och externt
Förstudien är ett bra underlag för att påvisa vilka brister som finns och därmed behovet av åtgärder. Förstudien bör också indikera vilka personer eller organisationsenheter som har ansvar för att åtgärderna genomförs.
2) Riskanalysen ger dina prioriteringar
En viktig nyhet i förordningen är att organisationen själv ansvarar för att veta vilka integritetsrisker som finns för dem vars personuppgifter ni behandlar. Riskanalysen blir ett stöd för hur ni ska behandla era personuppgifter. En viktig fråga att ställa sig i detta arbete är om någonting i verksamheten görs som kan innebära en allvarlig kränkning av någon. Genom att sedan fokusera på att minimera de största riskerna har du prioriteringen klar.
3) Vad ska ingå i planen för implementering av GDPR, dataskyddsförordningen?
Med förstudien och resultatet av riskanalysen som underlag kan du starta arbetet med att göra en plan för implementationen.
Utifrån er ambitionsnivå och riskaptit ska planen bland annat ge svar på:
- Vilka som är de prioriterade områdena och de aktiviteter som behöver genomföras
- Vilka styrdokument som behöver tas fram
- Vem som är ansvarig för genomförandet av respektive aktivitet
- Vem som är ansvarig för kommunikationen kring implementering och efterlevnad
- Vilka grupper som till exempel handläggare, systemägare och supportfunktioner som behöver utbildning för att säkerställa efterlevnad
- Tidplan för när respektive aktivitet ska vara genomförd
4) Implementering och uppföljning
De planerade åtgärderna ska sedan implementeras och följas upp. Detta innebär bland annat att ni:
- Utser roller och fördelar ansvar i er organisation
- Tar fram styrdokument och övrig dokumentation
- Etablerar eller kompletterar processer, som säkerställer att ni tillhandahåller de registrerades rättigheter och uppfyller den egna organisationens skyldigheter
- Genomför säkerhetsåtgärder i IT-system och processer
- Inför raderingsrutiner och incidenthantering
- Genomför löpande riskanalyser för att säkerställa inbyggt integritetsskydd i samband med inköp och utveckling av till exempel nya IT-system
Ni behöver även ta fram en plan för uppföljning av efterlevnaden. Ett tips är att göra detta både i form av stickprov och en mer heltäckande uppföljning. Ni behöver även bestämma er för om ni vill ta hjälp av någon tredje part för oberoende uppföljningar.
Det kan också vara bra att passa på att förbättra sina säkerhetsrutiner och också fundera över om förändringarna man genomför kan skapa andra mervärden för organisationen.
Vill ni ha rådgivning i samband med ert införande av dataskyddsförordningen? Vill du ha hjälp med hela ditt GDPR-projekt? Välkommen att kontakta oss!
Nyttiga länkar
Till externa hemsidor
Relaterade länkar på pwc.se
