-- Google Tag Manager (noscript) -->

GDPR – Vad har ni kvar?

För ett år sedan skrev jag en artikel om GDPR och vad som var nytt.

Är ni klara?

En ganska irrelevant fråga då 25 maj inte var ett slutdatum utan en start. GDPR kan man inte bara bocka av och säga ”Nu är jag klar!”. GDPR, eller datalagringsdirektivet som det egentligen heter på svenska, måste man ha in i sina existerande processer och handhavande.
Den stora frågan är nu hur ni efterlever detta?

Här kommer 7 tips för att kolla av hur ni ligger till:

  1. Se till att ha en strategi hur ni ska hantera detta
    Styrande dokument, rutiner, processer, roller och ansvar. Se till att få med ansvariga tidigt när det gäller behandling av personuppgifter och nya tjänster och system.
  2. Medvetenhet
    Se till att alla medarbetare vet hur man skall hantera personuppgifter med hjälp av de t ex de styrande dokumenten och återkommande utbildningar. Tänk på att olika roller har olika behov.
  3. Personuppgifter
    Alla personuppgifter som direkt eller indirekt kan identifieras som en person måste ha ett ändamål och en rättslig grund annars skall de städas bort. Glöm inte definiera lagringstid
  4. Individens rättigheter
    Uppfyller ni alla individens rättigheter, t ex rätten till information, registerutdrag och i de fall det är applicerbart, även radering? Kan vi hitta alla personuppgifter? Vet vi var de ligger och om det är sökbart?
  5. Personuppgiftsbiträdesavtal
    Ett av de längsta och svåraste orden med den nya lagen men ack så viktig.
    Lagrar vi bara internt? Använder vi oss av molnleverantör eller agerar vi som biträde för någon annan? Den som samlar in data är ansvarig och den som lagrar år denne är biträde.
  6. Säkerhet
    Har vi och är det i så fall synkroniserat med vår informationssäkerhetspolicy?
    Finns det en process för att göra en konsekvensbedömning angående hantering av befintlig och nya behandlingar av personuppgifter?
  7. Personuppgiftsincident
    Finns det en incidentrutin hur vi dels upptäcker, rapporterar och dokumenterar internt? Samt hur vi, i de fallen det är aktuellt, rapporterar till datainspektion och individen?

Det här är några punkter för att se om ni efterlever den nya lagen. Kontakta mig om ni behöver hjälp med att få fram en fullständig rapport över hur just ni ligger till.

Christer Johansson

christer.johansson@ip-solutions.se