Enabling good business
 

Anpassa din organisation till GDPR

by Niklas Bendelius in GDPR, IT-Strategi, Digitalisering, Guider, Nyheter

Snart kommer GDPR – och det kommer påverka alla.

Är du medveten om att den gamla svenska personuppgiftslagen (PUL) snart ersätts med EU-gemensamma ”GDPR” och att det medför stora konsekvenser i hur du hanterar andras data? Det är kanske lätt att tro att bara några timmars översyn räcker, men försäkra dig om att du läser denna bloggpost för GDPR kommer att påverka hur du kan och ska marknadsföra, sälja och informera såväl kunder som leads och prospekt. Den ställer höga krav på hur du måste kunna ta ansvar för hur din organisation behandlar persondata.

Vad innebär GDPR?

Att skydda individers information ligger i allas intresse och det kommer att vara en stor konkurrensfördel att kunna intyga det efter den 25 maj 2018. Att anpassa er organisation till de nya reglerna kan dock komma att kräva att ni avsätter betydande resurser. Om ni redan idag har väl genomarbetade åtgärder och rutiner för att säkerställa att personuppgiftslagen följs har ni en bra grund att utgå från, men dataskyddsförordningen innehåller även stora förändringar och vissa helt nya bestämmelser. Den personuppgiftsansvariges ansvar och skyldigheter förtydligas och utökas och de registrerades rättigheter förstärks.

De nya kraven kan komma att medföra stora förändringar i er verksamhet. För att ni ska hinna anpassa verksamheten på ett effektivt och kostnadsbesparande sätt, är det är därför viktigt att ni redan nu börjar fundera över vilka konsekvenser förordningen kommer att få för er. Kortfattat kan man lista den nya förordningens huvudprinciper så här:

  1. Individen i centrum. Utgå från att personuppgifter kommer från personen i fråga. En privatperson är alltid källan till uppgifter, information och slutsatser kring sin person.
  2. Rätt att veta. Personer har rätt att veta vad som händer och vem som påverkar dem.
  3. Rätt att samtycka. Personer har rätt att godkänna vad som händer och vem som påverkar dem.
  4. Dataminimering. Man ska inte samla in mer data än vad som är absolut nödvändigt. Det minskar risken för stora dataläckor och ökar informationssäkerheten.
  5. Kännbara straff. Den som misslyckas med ovanstående ska hållas ekonomiskt ansvarig.

Hög tid att komma igång med förberedelserna för GDPR

calendar-1

Klockan tickar

EU:s dataskyddsfördning börjar tillämpas den 25 maj 2018. Förordningen ställer helt nya krav på hur företag och andra organisationer måste arbeta och organisera sig, både för att undvika förordningens höga sanktioner och för att ta tillvara dess möjligheter. Detta förutsätter kunskap, involvering och beslut från många delar av organisationen, inte minst IT, och därför också ledningsgrupper inom företag och andra organisationer.

Further erbjuder tjänster som syftar till att hjälpa organisationer driva det viktiga arbetet med att förbereda sig för dataskyddsförordningens ikraftträdande samt att säkerställa kunskap, processer och verktyg för att efterleva förordningen över tid. Vi hjälper även till och stöttar i arbetet med att besvara eventuella förfrågningar från myndighet.

Exempel på några av de vanligaste frågeställningarna vi hjälper till att svara på:

    • Vilka är de viktigaste principerna och reglerna i dataskyddsförordningen? Vilka risker för sanktionsavgifter och skadestånd innebär dataskyddsförordningen?
    • Hur måste man organisera sig med roller, ansvar och processer för dataskyddsfrågor för att på ett effektivt sätt begränsa riskerna och tillvarata möjligheterna?
    • Hur bör man på effektivast sätt driva ett projekt som förbereder organisationen för att dataskyddsförordningen träder ikraft?
    • Hur behöver organisationer förhålla sig till kunder, leverantörer och samarbetspartners med anledning av förordningen?
    • Vilka åtgärder avseende IT-system och informationssäkerhet behöver man vidta för att följa dataskyddsförordningen?
    • Var går gränserna för hur man får analysera och använda data om sina kunder och anställda?

Hur förbereder man organisationen för GDPR?

anpassa organisationen till gdpr

Det finns såklart mycket att tänka på, men vi på Further har nedan försökt sammanfatta det viktigaste. Här följer därför en kort lista över vad organisationer bör göra nu för att börja förbereda sig för den nya förordningen.

  1. Försäkra er om att beslutsfattare och nyckelpersoner inom er organization känner till den nya lagen, vad den innebär och hur er organisation påverkas. Inledningsvis bör ni särskilt fokusera på att öka medvetenheten om de kommande förändringarna och säkra resurser för att komma igång med ert GDPR-projekt. Det kan bli både kostsamt och svårt att uppfylla reglerna i förordningen om ni väntar med förberedelserna till sista stund.
  2. Inventera och dokumentera vilka personuppgifter ni hanterar, hur de samlas in och till vem uppgifterna lämnas ut. Kom ihåg att undantaget för att behandla personuppgifter i ostrukturerat material, den så kallade missbruksregeln, inte kommer att finnas kvar i och med den nya förordningen. Det innebär att även information i löpande text måste hanteras.
  3. Undersök med vilket rättsligt stöd ni behandlar personuppgifter och om alla uppgifter verkligen är nödvändiga för er verksamhet. Vilken information lämnar ni ut och till vem? Hur inhämtar ni samtycke?
  4. Se över rutiner för att säkerställa att ni kan uppfylla alla rättigheter som de registrerade har enligt dataskyddsförordningen, som exempelvis hur ni raderar personuppgifter och hur ni lämnar ut uppgifter elektroniskt i ett allmänt använt format.
  5. Gå igenom era rutiner för att upptäcka, rapportera och utreda personuppgiftsincidenter så det är tydligt hur de anställda ska agera. Ni bör även bestämma var i er organisation som ansvaret för dataskyddsfrågor ska ligga. Det kan även krävas att ni formellt utser ett dataskyddsombud.

GDPR – hur vänder vi det till någonting positivt?

 ”Omvänd bevisföring” med GDPR

gdpr

Före den 25 maj 2018 behöver alla organisationer kontrollera och säkerställa att man följer den nya dataskyddslagen från EU – General Data Protection Regulation (GDPR). Den ersätter våra lokala föreskrifter i Sverige (PuL) och en av de stora skillnaderna att med GDPR gäller så kallad ”omvänd bevisföring”. Istället för att någon annan måste påvisa en brist så måste alla nu istället kunna visa ATT och HUR man följer lagen. När lagen träder i kraft kommer den omfatta både alla personuppgifter som samlas in OCH alla data som redan finns i befintliga system.

GDPR måste genomsyra hela organisationen

Ett viktigt första steg för att förbereda organisationen för GDPR är att fullständigt granska organisationens data. I en så kallade dataflödesrevision identifierar du varje ställe organisatinoen sparar personligt identifierbar information (PII). I många fall kommer resultaten över var organisatinoen lagrar och använder data att vara mer långtgående än vad du förväntade dig.

När du väl kan identifiera var alla data sparas och hur de används kan du utveckla effektiva strategier för att skydda data, förbättra användningen, införa effektivitet i dataprocesser och minska de allvarliga riskerna. Eller kanske inser du att din organisation sparar mer data än vad som behövs, och att det helt enkelt är möjligt att ta bort PII från datalagret på vissa ställen.

GDPR är på allvar och kräver samordnade aktiviteter genom hela organisationen. Vi på Further menar dock att förbereda sig för GDPR kan vara något positivt, det skapar fokus på VARFÖR och HUR organisationer hanterar sina kunder och deras personuppgifter. Den insikten ger bättre insyn i organisationens kundbas och relaterade processer vilket kan skapa affärsfördelar. Det ger också anledning att se över arbetssätt, systemstöd och andra viktiga delar som annars ofta får rulla på i befintligt skick.

Vad innebär GDPR för just er?

GDPR

GDPR innebär dock, trots alla möjligheter det kommer medföra, en stor och krävande utmaning för många organisationer och vi rekommenderar att du tar in extern hjälp för att säkerställa att din organisation kommer igenom detta på ett positivt sätt.

Vi erbjuder tre olika tjänstepaket kring GDPR; en lättare introduktion med konkreta tips för hur man kommer igång, ett mer omfattande analys och förändringsprojekt som tar er organisation från nuläge till väl förberedd för GDPR samt slutligen en tjänst som hjälper er med den löpande förvaltningen av processer, system och verktyg för att säkerställa att organisationen efterlever GDPR över tid.

Om du är nyfiken på hur vi på Further kan hjälpa till – så oss en signal på 08-410 417 90 eller kontakta oss här

Som tur är finns det hjälp att få, hör av er till oss så guidar vi er i GDPR-djungeln!

 

Tags:

Comments are closed.