Den 25:e maj händer det. EU:s dataskyddsförordning börjar gälla och omfattar stort sett alla företag och organisationer.
Ja du läste rätt. Alla. Det är svårt att tänka sig något företag eller organisation som inte använder epost, löneregister eller på annat sätt samlar in eller behandlar personuppgifter. Här är fyra enkla steg för att hjälpa eftersläntrare att komma ikapp med de viktigaste förändringarna.
Lär dig de centrala termerna
Förordningen omfattar alla som bearbetar personuppgifter i någon form. Den som ”äger” informationen (Data controller eller personuppgiftsansvarige) är den som har ansvar för hur databearbetningen skall gå till. De som utför olika bearbetningar eller tjänster på uppdrag av controllern kallas Data processor eller personuppgiftsbiträde.
Den registrerade (Data subject) har en rad nya och förstärkta rättigheter. Där ingår till exempel rätt till information, till rättelse, att bli raderad mm.
Från och med införandet av GDPR i maj behöver integritet och skydd av personuppgifter vara inbyggt i olika IT-system från start som standard (Privacy by design). Det kan t.ex. handla om att redan från början tänka på att minimera mängden, begränsa åtkomsten och skydda personuppgifter på olika sätt.
Läs de tre viktigaste artiklarna
GDPR innehåller 99 artiklar och kan därför framstå som ganska svår att ta till sig. De viktigaste artiklarna 30, 32 och 35 bör dock du känna till:
- Artikel 30 handlar huvudsakligen om att skapa en förteckning över dina bearbetningsaktiviteter och vilken information den ska innehålla.
- Artikel 32 fokuserar på säkerheten vid bearbetningen. Företagen är skyldiga att vidta “lämpliga tekniska och organisatoriska åtgärder” för en “säkerhetsnivå som är lämplig i förhållande till risken” för uppgifterna.
- Artikel 35 beskriver konsekvensbedömning av dataskyddet i syfte att förebygga risker innan de uppkommit. Grundregeln är att – om du tvekar på om personuppgifterna i det aktuella fallet är känsliga – gör en konsekvensbedömning och dokumentera denna.
Hitta alla dina databaser
Alla som arbetar i en större organisation vet hur svårt det är att ens hitta alla olika databaser som existerar i organisationen. Många företag använder stora system som SAP, Oracle, Marketo eller Salesforce – databaser för att identifiera och behandla personlig information. Men dessa system är bara en bråkdel av de system och applikationer där känsliga personuppgifter kan finnas. I GDPR-sammanhang är okända databaser en riskfaktor för organisationen och lösningen är automatiserade verktyg som letar upp alla personuppgifter i företaget.
Sätt upp en systemlösning och en organisation i samklang
Det finns inga enkla genvägar till att uppfylla hela dataskyddsförordningens alla olika krav. En viktig insikt är att det krävs en kombination av människor, processer och teknik för att nå det målet. Omställningen till efterlevnad påverkar hela företaget och inte bara IT-avdelningen. Lösningen är en blandning av strategi, organisation, processer, data och IT-stöd. En framgångsfaktor är att nyttja IT-stöd som automatiserar efterlevnaden av GDPR.
Idag arbetar de flesta organisationer för högtryck för att komma i mål till den 25:e maj. I själva verket borde det datumet ses som ett startskott. Istället för att stressa mot ett datum bör målsättningen vara att metodiskt arbeta fram en lösning som gör det lätt att uppfylla GDPR på daglig basis efter den 25:e.
Av Daniel Falk, Director Business Advisory, Snow Software