GDPR-compliance: Så sätter du standarden för datasäkerhet i din bransch

Vägen mot GDPR-compliance kan tyckas lång och krokig. Men om du vidtar systematiska åtgärder med hela organisationen i ryggen, är chanserna goda att kunna efterleva de nya reglerna när de träder i kraft. Låt oss ta en titt på vad du bör göra för att ligga steget före i din bransch.

GDPR-compliance1

 

Kommunicera betydelsen av GDPR-efterlevnad

Först och främst är det viktigt att hela organisationen förstår vikten av att vara GDPR-compliant. För att få resurser och tid få beviljat till detta arbete, behöver du ha ledningen och hela organisationen med dig. Det är naturligt att börja kommunicera konsekvenserna av att bryta mot GDPR. Men lika viktigt är att framhäva de positiva aspekterna med att ligga steget före: befintliga system rensas upp och förbättrade dataflöden kan uppnås genom initiativ som sträcker sig över hela organisationen. Det är också smart att se längre fram än i maj 2018. Betona att ansträngningarna för att bli compliant inte bara handlar om att nå en deadline, men också att införa system som ska fungera över tid. Arbetet som läggs ned nu utgör grunden för de lösningar som ska användas under flera år framöver.

Skapa översikt över befintliga system och lösningar

En stor del av förberedelserna mot att bli GDPR-compliant innebär att kartlägga befintliga system och lösningar och att säkerställa att det finns bra databehandlingsavtal på plats med leverantörerna av dessa system. För molnbaserade tjänster är det särskilt viktigt att fråga leverantören hur och var datan lagras samt vem som har tillgång till den.

Skapa översikt över data

För att få en bättre översikt, bör du kategorisera, tagga och märka all data. Det ger dig en bättre bild av omfattningen och det gör det också lättare att genomföra en nödvändig gap-analys. Det är mycket att ta hänsyn till och många olika typer av data att få översikt över. Vilken typ av information lagrar din verksamhet om kunder och anställda? Vart blir denna data registrerad? Vem har tillgång till den? En god överblick ska ge svar på dessa frågor.

Lägg till upp till samarbete inom hela organisationen

Vägen mot GDPR-compliance är inte bara ett projekt som IT-avdelningen bör delta i. För att processen ska bli så bra som möjligt, bör experter med olika kompetens involveras. Får du tex. HR och juridiska experter med i laget blir det lättare att bedöma risker och möjliga konsekvenser. Om du inte har juridisk expertis inom organisationen, är det lämpligt att söka extern juridisk rådgivning. Du bör inte försöka spara pengar inom detta område genom att på egen and tolka rättslig praxis. Tvärtom bör du inkludera resurser i det juridiska arbetet, så att du kan vara säker på att verksamheten håller sig på rätt sida av lagen.

Genomför en GAP-analys

Målet med en GAP-analys är att få en överblick över hur långt organisationen är ifrån att bli GDPR-compliant, och därefter skapa en konkret handlingsplan för att nå målet och kunna möta kraven.

GDPR-compliance-GAP

Analysen ger svar på om befintliga system ligger i linje med det kommande regelverket och om det finns behov av ytterligare åtgärder.

Systemen du använder idag och framöver bör kunna stödja de registrerade personernas rättigheter för sin data. Kom ihåg att registrerade personer skall ha rätt att:

  • avböja profilering och automatiserade beslut
  • motsätta sig databehandling
  • begränsa databehandling


Dessutom stärks ”rättigheten att glömmas bort”, en raderingsrättighet som du måste kunna följa i praktiken.

Implementera förändringar

En av de sista stegen mot compliance är att etablera planer och rutiner för framtiden, baserat på det kartläggningsarbete som har utförts.


Du bör ta fram en plan för hur organisationen ska se över och uppdatera rutiner samt hur ofta detta ska ske. Här är det viktigt att alla medarbetare får instruktioner om hur data ska behandlas, så att nya rutiner upprätthålls.

Rutiner, åtgärder och utbildning i samband med GDPR måste dokumenteras så att du är väl förberedd vid en eventuell inspektion. Som tidigare nämnts, bör du söka juridisk rådgivning för att vara helt säker på att du har all nödvändig dokumentation i ordning.

Det kan också hända att de system som du använder idag inte är kompatibla med de nya regelkraven. Lyckligtvis finns det idag flera system som kan hjälpa dig att spara och registrera data i linje med GDPRs krav. Moderna lösningar på marknaden kan göra arbetet med att bli compliant betydligt lättare, men ska du byta ut hela system är det viktigt att börja denna process så snart som möjligt, eftersom det ofta är en tidskrävande process.

 

Om du vill lära dig mer om hur vi kan automatisera dina HR-processer, stödja arbetsflöden och säkra dina anställdas data, kan du börja ladda ner vår gratis e-bok här nedan! 

Chris Holthe

Chris Holthe, 21 augusti 2017

Christian Holthe är VP Security & Operations, på CatalystOne Solutions. Med lång erfarenhet av IT-säkerhet och molnlösningar har Christian en central roll i CatalystOnes egna säkerhetsarbete – både för intern organisation och för de programvarulösningar vi utvecklar och levererar.

Få månatliga uppdateringar från bloggen!