Informationssäkerhet • 4 min lästid

Är du GDPR-kompatibel?

blogg
Alla Blogg Event Kundcase Nyheter Videos Produkt Guider
|Efter ämne

GDPR trädde i kraft den 25 maj 2018, med syfte att skydda individers rättigheter och personuppgifter. Många verksamheter är än idag osäkra på vad de behöver göra för att uppfylla förordningens kriterier – vad krävs egentligen för att bli GDPR-kompatibel? Det reder vi ut i det här blogginlägget.

EU:s förväntningar på ditt dataskydd

Enligt lagen om dataskydd (från 1998) är organisationer skyldiga att följa sex olika principer vid skydd av personuppgifter. GDPR ger nu företag en ny chans att verkligen säkerställa att principerna följs – och anpassa hanteringen av personuppgifter efter den ökade digitaliseringen i samhället.

Det finns mycket att hålla koll på och okunskap är dessvärre ingen giltig ursäkt för den som misslyckas efterleva GDPR:s kriterier. Varje företag behöver jobba aktivt för att minska de operativa riskerna i samband med hanteringen av personuppgifter.

Ett riskbaserat tillvägagångssätt är att föredra – och här räcker det inte bara att checka av rätt punkter på en lista. För de flesta organisationer krävs såväl kulturella som beteendemässiga förändringar för att skapa ett helhetstäckande skydd av konsumenternas personuppgifter.

Vem är skyldig att följa GDPR?

Riktlinjerna omfattar företag som hanterar information från invånare i EU. Din verksamhet behöver inte vara fysiskt beläget i EU för att GDPR ska gälla, men så länge du hanterar data från EU:s medborgare omfattas du av förordningen.

Vad händer om jag bryter mot GDPR?

Om du skulle upptäcka en säkerhetsöverträdelse som bryter mot GDPR har du 72 timmar på dig att meddela tillsynsmyndigheterna om händelsen. För att detta ska gå rätt till behöver du implementera särskilda protokoll för ändamålet. När en dataöverträdelse inträffar undersöker ICO omständigheterna bakom dataskyddsbrottet – och det är inte ovanligt att en överträdelse leder till sanktionsavgifter.

Hur vet jag att mitt företag följer GDPR?

Du måste söka tillstånd innan du samlar in eller på annat sätt hanterar en individs personuppgifter. Dessutom är du skyldig att meddela individen vad du planerar at göra med informationen. För att bli GDPR-kompatibel behöver du samla in rätt sorts aktivt medgivande från berörda EU-medborgare.

Det är ditt företags ansvar (utse en ansvarig medarbetare för detta) att radera personuppgifter från er databas vid förfrågan. Samtidigt är det ert ansvar att se till att uppgifterna inte delas med en tredje part. Alla som hanterar personliga data inom företaget ska vara väl medvetna om innehållet – för därför register över hur ni samlade in uppgifterna och hur länge ni har haft dem.

Det är viktigt att specificera exakt från vilken källa uppgifterna kommer. Om uppgifterna till exempel kom till er via en tredje part ska ni kunna visa skriftliga bevis på att ni har den behörighet som krävs för att äga informationen. Spara inte heller på data som ni inte behöver, utan begränsa datainsamlingen till information som ni har en berättigad orsak att hantera.

Utse gärna ett dataskyddsombud och tydliggör vad personen har för ansvarsområden i förhållande till GDPR. Alla organisationer är inte i behov av ett dataskyddsombud, utan det gäller främst offentliga myndigheter och verksamheter som hanterar personliga data i större omfattning.

GDPR begränsar överföring av personuppgifter utanför EES (Europeiska ekonomiska samarbetsområdet). Om du driver en internationell verksamhet kan det vara extra bra att hålla koll på de överenskomna reglerna för detta.

I ett samhälle med ökad digitalisering blir det allt viktigare att säkerställa korrekt dataskydd och informationssäkerhet. Visste du att företag som implementerar system för att löpande förbättra och utveckla sina processer underlättar efterlevnaden av GDPR? Du kan läsa mer om detta i guiden ”Hitta rätt system för ditt informationssäkerhetsarbete”. Ladda gärna ner guiden här!

Ladda ner guide

 

Senaste nytt från oss direkt till din inbox varje månad