Dataskydd och informationssäkerhetskonsult Trond Falkenberg
Här hittar du information om efterlevnad av Dataskyddsförordningen och Informationssäkerhetsstandarden ISO 27000.
Klicka på länken för att komma får stöd i det strategiska eller operativa arbetet: www.gdprkonsult.nu.
Information om GDPR och vad det innebär för ert företag eller organisation
Vad är GDPR?
Förordningens syfte är att skydda individens rätt till integritet och
kommer från de mänskliga rättigheterna. Dataskyddsförordningen (GDPR) är en förordning som ger individer ett antal friheter och rättigheter som företag behvöer kunna uppfylla.
Vilka företag påverkas av GDPR?
Dataskyddsförordningen (GDPR) omfattar alla företag som har anställda eller privatkunder och kan ge böter för dem som inte följer regler och principer i förordningen. Exempelvis behöver du som företagare använda personuppgifter för att betala ut löner, eller uppgifter till en kund som ni ska skicka en vara till eller tillhandla hålla en tjänst.
Vad är syftet med GDPR?
Dataskyddsförordningen som kom 2018 innebär att företagets VD är ansvarig för att de personuppgifter som företaget använder ska skyddas från risken att den registrerades (anställda/privatkunder) rättigheter kränks, t.ex. ska de skyddas från att "bli förstörda" och "exponeras för obehöriga".
Vad innebär GDPR för dig som företagare?
VD:n är ansvarig och ska kunna uppvisa dokument som visar att, och hur man följer förordningens regler och principer. Dokumentation är därför en viktig del i att efterleva Dataskyddsförordningen, lika viktigt som att det som dokumenterats också följs i praktiken.
Vad är det viktigaste och var ska du börja för att följa GDPR?
Organisationer ska skydda uppgifter genom tekniska och organisatoriska skyddsåtgärder. Vidare ska organisationer säkerställa att den registrerades fri och rätttigheter tillgodoses. Ett grundläggande krav är att skaffa sig kunskap om, och dokumentera organisationens personuppgiftsbehandlingar i en registerförteckning.
Vad innebär det att "behandla" en personuppgift?
När ni använder en personuppgift kallas det att ni "behandlar" den, det omfattar all form av hantering av personuppgifter. Allt från ert kundregister, fakturor, ärendehanteringssystem, arbetsplaneringsverktyg, lönesystem, personalsamtal som dokumenteras, ansökningshandlingar, CV, information om sjukpenning, uppgift om allergi, rörelseförhinder, loggböcker, arbetsordrar, inspelningar, ljudupptagningar, fotografier och vanliga pärmar där namn eller personummer finns med, tillsammans med alla de uppgifter som går att härleda till personen.
Börja upprätta en registerförteckning!
Företagets behandling av personuppgifter ska dokumenteras i en så kallad registerförteckning där varje behandling är styrkt med en rättslig grund.
Registerförteckningen är därför det mest grundläggande dokumentet i er efterlevnaden av förordningen eftersom den visar att alla era behandlingar har en rättslig grund och därmed är lagliga (Se Artikel 30 i GDPR).
Informationsplikt
En grundläggande princip är att vara öppen med hur man behandlar personuppgifter och informera ägarna till personuppgifterna om omständigheterna kring hur de handlas. Med en integritetspolicy för kunder och/eller anställda uppfyller ni kravet på öppenhet och information till de registrerade.
Vad är nästa steg?
Det kan vara svårt att veta vad och hur man ska göra för att uppfylla prinicper och krav i Dataskyddsförordningen. För att få information och diskutera vilken lösning som passar er bäst fyll i kontaktformuläret på kontaktsidan, för att komma dit klicka här
Organisatorisk efterlevnad
Dokumentation av behandlingar i en Registerförteckning
Registerförteckningen är hjärtat i er efterlevnad av Dataskyddsförordningen som visar att ni vet vilka personuppgifter ni behandlar och att ni har en rättslig grund som legitimerar er behandling.
Arbetet innebär i stora drag följande:
Kartläggning register (databaser, programvara m.m.)
Kartläggning av personuppgifter
Känslighetsklassning av personuppgifter
Kartläggning av behandlingar med risk för den registrerade
Riskkartläggning och analys
Bedöming av adekvata skyddsåtgärder
Rättslig grund för behandling av personuppgifter
m.m.
=
Registerförteckning
För att få hjälp att upprätta er registerförteckning
klicka på: Kontakt.
Organisatorisk efterlevnad
Transparens med hur man hanterar personuppgifter
i en Integritetspolicy
Ni behöver en integritetspolicy för privatkunder och anställda.
Med en integritetspolicy uppfyller du kravet på öppenhet genom att placera den på er hemsida.
Arbetet innebär i stora drag följande:
Information om företaget
Kartläggning av personuppgifter
Gallringstid för personuppgifter
Rättslig grund för behandlingen
Vilka intressenter som personuppgifter delas med
Om de överförs till 3:dje land
Att och hur de skyddas
Vilken roll som ni har (Personuppgiftsansvarig/biträde)
De registrerade rättigheter
Kontaktuppgifter till er
m.m.
=
Integritetspolicy
För att få hjälp att upprätta er integritetspolicy
klicka på: Kontakt.
Vad behöver man ta reda på?
Var lagrar ni uppgifter?
Vilka system och medier lagras ni personuppgifter på?
Vilken känslighetsgrad har informationen?
Hanterar ni hälsodata, facktillhörighet eller annan känslig information?
Finns det något som riskerar att hota individens rätt till integritet och konfidentialitet?
Är lagerinsplatserna säkrade mot hot och brister?
Checklista
Registerförteckning
Rutin för att lägga in och uppdatera
Integritetspolicy
Redogörelse för personuppgiftsbehandlingar, ändamål, gallring och rättslig grund
Incidenthanteringsplan
Process och rutin för att upptäcka, avvärja och rapportera incidenter
Riskmedvetenhet
Process och rutin för riskarbete
Adekvata skyddsåtgärder
IT-säkerhetskrav på samarbetspartners och egna system och medier
Kompentens bland medarbetarna
Utbildning i säker användning av digitala arbetsverktyg
Informationssäkerhetsstandarden
ISO 27000
(under uppbyggnad)
Plan
Do
Check
Act
Riktighet
Tillgänglighet
Konfidentialitet
Informationen ska ha ett skydd som är anpassat för dess känslighet och informationssäkerhetsaspekter