Så säkerställer du att ditt företag efterlever GDPR

Anders Bryde Thornild
By: Anders Bryde Thornild GDPR | 18 januari

Det är väldigt svårt att hitta en organisation som inte hanterar någon form av personuppgifter, det är något många anställda måste göra dagligen. Det finns tyvärr ingen genväg till att snabbt efterleva GDPR. Men det är viktigt att din organisation har tydliga riktlinjer, och att alla anställda vet vad de ska göra. Vi har skapat en lista med åtgärder för att säkerställa att ditt företag är på rätt väg. 


Vad är GDPR?

I maj 2018, trädde EU:s dataskyddsförordning (GDPR) i kraft. GDPR är ett rättsligt ramverk som fastställer riktlinjer för hur organisationer får samla in och behandla personuppgifter.
Syftet är att skydda konsumenternas rättigheter, genom att säkerställa att webbplatser, offentliga institutioner och företag efterlever GDPR:s regler när de behandlar information om privatpersoner.

Innehållsförteckning

 

Din organisation måste känna till GDPR-reglerna

Det första steget mot att efterleva GDPR, är att säkerställa att ni har en kontaktperson på företaget som förstår vad GDPR handlar om. GDPR bygger på 7 principer, som kan användas till att förstå grunden för hur personuppgiften ska hanteras, och varför det ska hanteras på det sättet. De grundläggande principerna används för att klarlägga grundtanken med GDPR, och lyfter fram några av de metoder som kan hjälper organisationer i dagliga arbetsuppgifter, som till exempel uppgiftsminimering. Principerna understryker också hur viktigt det är att ha rättslig grund för behandling av personuppgifter, vilket innebär att ni måste ha en giltig anledning till att behandla människors personliga information. Det kan bland annat vara genom att få samtycke, vilket man ofta ser på webbplatser.

Ni måste ni ta dessa grundläggande principer och omsätta dem till handling.


7 GDPR Principles - Infographic

Var säker på vem som är ansvarig – det kunde vara ett Dataskyddsombud (DPO)

Det kan snabbt bli en utmaning att implementera och genomföra de 7 principer, om det inte finns en utsedd person eller personer som har ansvaret att se till att er verksamhet efterlever GDPR. Även om (nästan) alla hanterar personuppgifter i sina dagliga arbetsuppgifter, är det fortfarande viktigt att ha en person som ansvarar för att verksamheten har ett fungerande dataskydd och att personuppgifter hanteras korrekt. Ifall att det sker ett misstag är det viktigt att de anställda har en person de kan vända sig till.

I större verksamheter kan ansvaret fördelas över fler, och i mindre verksamheter kan en av ledarna ha ansvaret, eller så kan det vara ett dataskyddsombud, en DPO, som har som jobb att se till att er verksamhet efterlever GDPR.

Det finns ingen ‘one-size-fits-all’ lösning, eftersom behovet avgörs på verksamhetensstruktur. I ett litet nystartat företag kan det vara lite överdrivet att utse ett dataskyddsombud, men det kan också bli oklart vem som faktiskt har ansvaret och ska ta handling på något, om det delas av för många. Det finns också möjligheter att lägga ansvarsrollen på ett externt företag. Det viktigaste är att ni alla är överens om vem som är ansvarig för GDPR, och att era anställda vet vem de ska vända sig till när de har frågor.

Smart CTA Risk SE

 

Alla dina kollegor måste veta hur man hanterar personuppgifter

Det slutar inte bara för att man vet vem som är GDPR ansvarig hos er, eftersom alla dina kollegor förmodligen kommer hantera på personuppgifter. Därför är det viktigt att alla dina anställda individuellt har en grundläggande förståelse för hur personuppgifter ska hanteras. Det innebär inte att alla behöver bli experter, men det är viktigt att dina kollegor har en grund förståelse för vad personuppgifter är, och hur det ska hanteras. Vi har listat några exempel på saker som alla dina kollegor borde känna till:

  • Vad personuppgifter är

  • Vad anses vara känsliga personuppgifter

  • Om ni har en rättslig grund för att hantera personuppgifter, eller inte

  • Hur de olika typerna av personuppgifter ska hanteras

  • Vad ni ska göra om ni upptäcker ett dataintrång

  • Vem man ska be om hjälp om när man blir osäker

Det finns många olika sätt, man kan öka medvetenheten om datahantering, hos sina kollegor. Seminarier kurser och medvetenhetsträning är alla bra utbildningsmetoder för att skapa förståelse för säker datahantering. Kom ihåg att utbildning i säker datahantering borde ses som en prioritet, eftersom misstag en anställd kan göra, är oftast den vanligaste orsaken till dataintrång.

De registrerades 8 grundläggande rättigheter  

Efterlever man GDPR, så lever man också upp till de registrerades rättigheter. Här är en kort beskrivning av de 8 rättigheter som varje registrerad individ har. 

1. Rätt till tillgång 

Det innebär att varje individ har rätt att begära tillgång till sina personuppgifter. De har också rätt till att veta hur organisationen använder dem. 

2. Rätt till radering 

Det innebär att den registrerade kan kräva attsina personuppgifter raderade om de inte väljer att dra tillbaka sitt samtycke, eller inte längre är kunder.  

3. Rätt till dataportabilitet  

Individer har rätt att överföra sina uppgifter från en tjänsteleverantör till en annan tjänsteleverantör. 

4. Rätt till information  

Individer har rätt till attinformation om vilka uppgifter som samlas in, och de måste ha möjlighet att välja att delta eller avstå från detta.

5. Rätt till rättelse 

Alla individer har rätt attsina uppgifter uppdaterade om de är felaktiga, ofullständiga eller inaktuella 

6. Rätt till begränsning av behandling 

Alla individer har rätt att begränsa behandlingen av deras information. Det innebär att de kan välja att tillåta ett företag att använda uppgifterna för vissa ändamål, men inte alla. 

7. Rätt att göra invändningar 

Alla individer har rätt att göra invändningar och begära att företag och offentliga myndigheter slutar använda deras uppgifter utan uttryckligt samtycke, t.ex. för direktmarknadsföring. 

8. Rätt att bli underrättad 

Om ett dataintrång sannolikt leder till en hög risk för den registrerade, har de rätt till att bli underrättad inom en snar framtid.  

Skapa tydliga riktlinjer, för att säkerställa GDPR-efterlevnad  

Det är avgörande att delegera ansvar, och utbilda dina kollegor i datahantering, och om ni inte redan har kommit i gång, ska ni göra det så snart som möjligt. Ett annat sätt att hjälpa dina kollegor på är skapa tydliga och enkla riktlinjer för datahantering. Det är Det är viktigt att vara uppmärksam, speciellt i nya situationer där peronsuppgifter behandlas.  som en anställd enkelt kan få tillgång till i osäkra och nya situationer. Skapandet av riktlinjer gör också att rutinerna kring datasäkerhet effektiveras. Som ett resultat, kan riktlinjerna hjälpa till att göra er IT-säkerhet starkare, samt minska risken för dataintrång.   

Här under följer några dokument, och riktlinjer, du kan skapa till din verksamhet.

IT-säkerhetspolicy ha styr på det generella ramverket  

Genom att skriva en IT-säkerhetspolicy, så säkerställer du att ert företag skapar ett generellt ramverk, för hur man aktivt arbetar med IT-säkerhet. Policyn inkluderar flera mål, och fastställer vem som är ansvarig för att uppnå målen, samt vem som har ansvar för det övergripandet arbetet med cybersäkerhet. Policyn utarbetas på strategisk nivå, och skapar tonen för ert arbete med IT-säkerhet. Ett arbete som också hjälper er att minska risken för dataintrång. 

Riktlinjer för IT-användning – skapa konkreta riktlinjer och genomförbara regler 

Som vi nämnde tidigare är en IT-säkerhetspolicy, ett strategiskt ramverk för IT-säkerhet, och skydd av personuppgifter. Men, ett mer praktiskt och handlingskraftigt dokument är ett dokument med riktlinjer för IT-användning. Det är ett dokument som kan hjälpa dig att genomföra dina mål, genom praktiska riktlinjer och regler som dina kollegor kan följa. Kom därför ihåg att listan med regler inte ska bli överdrivet lång, eller komplicerad, eftersom det kan skapa omotivation hos dina kollegor, vilket är kontraproduktivt.

Riktlinjer för IT-användning ska vara lätta att förstå, enkla att följa, och måste vara i linje med ert övergripande mål i verksamheten, om hur ni stärker er IT-säkerhet.

 

Vad är personuppgifter?

Personuppgifter är information som kan användas för att identifiera en specifik person. Det inkluderar information som namn, adress, registreringsnummer, en jobbansökan eller en bild på en tatuering. Om personuppgifter kategoriseras som känsliga, kräver GDPR en högre säkerhetsnivå. 

Allmänna personuppgifter 

   - Namn

   - Mobilnummer 

   - Födelsedatum 

   - Yrke 

   - Address

Känsliga personuppgifter 

   - Ras eller etniskt ursprung 

   - Politisk eller religiös övertygelse 

   - Medlemskap i fackförening 

   -  Genetiska/biometriska uppgifter (t.ex. fingeravtryck) 

   - Hälsoinformation 

   - Sexuella relationer/läggning 

Gör en riskanalys för att ta reda vad som är nästa steg 

Vad är ditt nästa steg? 

Det beror på.  

Eftersom alla företag är olika, med olika behov, är det svårt att ge konkreta tips på vart du ska lägga dina insatser för att stärka er IT-säkerhet. Ditt nästa steg beror på flera faktorer, också vilka typer av uppgifter du behandlar, vilka system ni använder, och vad konsekvenserna skulle bli om ett säkerhetsbrott inträffar.

För att ta ett klokt beslut, om vad dina nästa steg blir, så kan det vara en bra idé att göra en riskanalys. Så får du en bättre överblick över vilka typer av hot som er organisation kan vara känsliga för, samt vad nu behöver för säkerhet och skydd. En väl genomförd analys, uppskattar också sannolikheten för att ett hot blir till verklighet, och vilka konsekvenser det skulle få.

Hot som är mer sannolika att inträffa, och kan vara mycket skadliga ska ni såklart hantera först. Hot mot er verksamhet kan vara allt från att anställda klickar på farliga länkar, till att en obehörig kommer över känsliga personuppgifter.

Tänk bara på att, enligt GDPR, ska riskanalysprocessen inte ska utföras på samma sätt som när det görs under ISO-standarderna. 

Skapa en hållbar process för GDPR, med hjälp av cykeln: Plan-Do-Check-Act

Som du kanske redan vet, så finns det ingen snabb lösning till att efterleva GDPR, utan det är en pågående process. Du blir aldrig helt klar, eftersom nya utmaningar hela tiden kommer dyka upp. Du kan inte bara presentera reglerna för ditt team, och sedan förvänta dig att de ska följa dem till punkt och pricka, helt perfekt. Det är viktigt att du har en bra process för att bedöma, utvärdera och justera riktlinjerna efter behov. En iterativ arbetsprocess med GDPR, kommer göra er databehandling smidigare och säkrare med tiden. 

Ett sätt att arbeta iterativt på, är genom cykeln Plan-Do-Check-Act (PDCA), ett arbetssätt som säkerställer att:  

  1. Du skapar mål, och en plan för hur dur dem 

  2. Du följer planen och genomför arbetet 

  3. Du utvärderar arbetet för att se om du nådde målen 

  4. Du agerar på resultatet, för att fortsätta förbättra dig 

Ni kan bli certifierade för att visa att ni uppfyller kraven 

Enligt GDPR är den anställde den som behandlar personuppgifter ett personuppgiftsbiträde, som ska granskas av personuppgiftsansvarig, den som bestämmer för vilket ändamål uppgifterna ska behandlas till, och hur behandlingen ska gå till. Det innebär att du är skyldig att dokumentera att du behandlar personuppgifter i enlighet med GDPR. Det kan ofta leda till att du måste hantera en del frågor vilket kan vara tidskrävande. 

Om det är en tung belastning för dig, kan det vara värdefullt att bli certifierad, eller genomföra en säkerhetsrevision. Båda sätten visar att ni följer god praxis, när det kommer till informationssäkerhet och datahantering. Men det kanske inte är rätt väg att gå för alla, eftersom det kan vara relativt dyrt att bli certifierad och granskad. Det ligger också en hel del arbete i det, så innan du sätter igång en certifieringsprocess, så ska du fundera på om det är rätt lösning för er verksamhet.  

Många certifieringar och rapporter att välja mellan 

Det finns många certifieringar och standarder att känna till när det kommer till GDPR, och IT-säkerhet. En del certifieringar är specifika till GDPR, med andra inte är det, men kan ändå vara användbara. 

Här följer en lista över certifieringar som du kan vara relevanta för dig:

  • ISAE 3000 GDPR-rapport

  • ISO 27701-certifiering

  • ISAE 3402-rapport

  • ISO 27001-certifiering 


De kan alla användas för att påvisa GDPR-efterlevnad, men de avhandlar inte samma processer.  

ISAE 3000 används ofta i samband med GDPR 

Ett sätt att använda revisorsutlåtanden eller certifieringar i ditt arbete med GDPR är att skaffa ett ISAE 3000-revisorsutlåtande, även kallat ISAE 3000 GDPR-rapport/utlåtande. Syftet med utlåtandet är att en extern revisor bedömer om du lever upp till ditt åtagande som personuppgiftsbiträde.

En ISAE 3000 rapport kan öka kundernas förtroende för din verksamhet samt din trovärdighet eftersom du har ett intyg på att du följer processer i enlighet med GDPR.Om du blir granskad och får ISAE 3000-utlåtandet kan du visa det för personuppgiftsansvariga, vilket hjälper dig att intyga att du behandlar personuppgifter enligt reglerna. 

Läs om alla fördelarna med ISAE 3000 och ta reda på om det är något din organisation borde öveväga. 

ISO 27701 är en ny certifiering som skapats för GDPR 

Under 2019 presenterade den internationella ISO-organisationen en ny standard: ISO 27701. Många känner till ISO 27001, som vi beskriver närmare i nästa avsnitt. Men först, är ISO 27701 en ny certifiering.

Det inte så slående namnet på certifieringen är "Säkerhetstekniker – Tillägg till ISO/IEC 27001 och ISO/IEC 27002 för hantering av personuppgifter – Krav och vägledning". 

Certifieringen granskar huruvida du uppfyller kraven i GDPR, så det låter som den optimala certifieringen för alla. Men kom ihåg att certifieringen är relativt ny, så vi behöver se hur den fungerar i praktiken innan vi drar några för snabba slutsatser.  Det kan bli att denna certifiering blir som en kombination av ISAE 3000 och ISO 27701, vilket är något som behövs, men vi blir klokare med tiden. 

Ni kan bli ISO 27001-certifierade eller ISAE 3402-säkerhetsgranskade

Trots att ISAE 3000 är den mest GDPR-specifika rapporten och ISO 27701 den mest GDPR-specifika certifieringen, använder många ISAE 3402 och ISO 27001. ISAE 3402 är en grundlig deklaration som fokuserar på rapportering och finansiella transaktioner, den används ofta för att se till att den dagliga verksamheten, och IT leverering, utförs på ett säkert sätt. Därför används den också i samband med GDPR och IT-säkerhet. ISAE 3402 är baserad på ramverket ISO 27001. ISO 27001 är en standard som hjälper företag att säkra värdefulla och personliga data. Målet är att skapa stark informationssäkerhet. 

ISAE 3000 jämfört med ISAE 3402

Okej, så vad är skillnaden mellan de två och varför använder man båda? Det korta svaret är att, ISAE 3000 vanligtvis handlar om data och hur man skyddar dem, vilket är anledningen till att den är passande i GDPR sammanhang. 

ISAE 3402 handlar däremot om processer och fysiska förhållanden. Den handlar om att se till att det inte finns några driftstopp på servrar. Att det finns säkerhetskopior om data skulle raderas. Samt att det finns rutiner för saker som säkerhetskopiering, loggning, strömförsörjning osv. Den kan också spela en viktig roll när det gäller att säkra personuppgifter, men är mycket mer omfattande än så. 

Säkerhetsproblem är ofta mänskliga problem 

Ibland uppstår dataintrång. Vi är alla människor, och vi alla kan göra misstag, speciellt om vi har bråttom eller inte är medvetna om konsekvenserna av våra handlingar. Statistik från den danska data dataskyddsmyndigheten (Datatilsynet) visar att den främsta orsaken till säkerhetsintrång är e-mails som sänds till fel mottagare.

Det kan låta som ett litet misstag, men det är fortfarande ett säkerhetsintrång, eftersom personuppgifter kan hamna i fel händer om de skickas till fel personer som absolut inte ska behandla eller ha tillgång till dem.

Det visar på hur viktigt det är att se till alla dina kollegor är medvetna om riskerna med att hantera personuppgifter, det kan också hjälpa er undvika databrott. Ett av våra fokusområden som IT-säkerhetsföretag, är att minska antalet säkerhetsintrång som orsakas av en anställd. 

Du vill ju inte mota en bot 

Om en säkerhetsöverträdelse har inträffat, finns det många regler och processer att följa. Men en av de första sakerna du ska göra är att komma ihåg att dokumentera överträdelsen, och anmäla det hos din lokala tillsynsmyndighet senast 72 timmar efter att den upptäcktes.

De allra flesta överträdelser är inte så pass allvarliga att de leder till böter. Om din verksamhet har de riktiga rutinerna på plats, och överlag gör ert bästa för att skydda personuppgifter, har ni inte så mycket att oroa er över. Om ni däremot inte tagit några initiativ till att efterleva GDPR, inte är medvetna om riktlinjer om datasäkerhet, kan ni hamna i en situation som inte är så kul. Den säkerhetsnivå som krävs av en verksamhet, om de hamnar i en rättstvist, är något som vi fortfarande blir klokare på i takt med att GDPR utvecklas, och reglerna tenderar också att variera från land till land. 

Skydda data är en kontinuerlig process 

Som vi har nämnt är det inte så enkelt som det kanske kan verka att efterleva GDPR. Det finns ingen enkel och snabb lösning för att bli kompatibel med regelverket. Stegen som vi tagit upp i detta inlägg, kan hjälpa dig komma igång med att ta reda på vilka tillvägagångsätt som är relevanta för din organisation. Men det är viktigt att du kommer ihåg att GDPR är en kontinuerlig process, och olika företag står med olika utmaningar. Det är kanske inte så konstigt att man i mellan åt blir trött eller överväldigad om man försöker lösa alla problem på en och samma gång. Försök istället processen om att efterleva GDPR steg-för-steg.

Börja med det du kan göra, som gör störst inverkan, och jobba sedan vidare med den principen.

Håll ett öga GDPR-domarriktlinjerna utvecklas hela tiden 

Som avslutning, vill jag poängtera hur viktigt det är att vara uppdaterad på alla domar som berör GDPR. Även om GDPR funnits sedan 2018, är det fortfarande en ny förordning och området utvecklas hela tiden. 

Låter det jobbigt att hålla sig uppdaterad om alla GDPR-domarna? Oroa dig inte, vi hjälper dig med det. Du kan kostnadsfritt pröva alla våra kurser inom GDPR och IT-säkerhet, och ta reda på om medvetenhetsträning är något som passar din verksamhet.