Så här arbetar vi med GDPR

Den nya dataskyddsförordningen GDPR träder ikraft den 25 maj 2018, och innebär bland annat hårdare krav på hantering av personuppgifter.

GDPR kommer att gälla för samtliga organisationer och branscher som sparar eller på något sätt hanterar personlig och känslig information om sina kontakter, anställda eller kunder.

Detta innebär i princip att samtliga av Atrox kunder och dess användare kommer att omfattas av den nya lagen och vi vill uppmärksamma om att det är god tid att få ett grepp om situationen redan nu.

Nedan kommer lite konkreta och handfasta tips på hur ni kommer vidare i processen. Vi vill även understryka att Atrox är en IT-leverantör, och att vi ej innehar ett juridiskt mandat. Vårt ansvar i processen ligger i att säkerställa den tekniska säkerheten, och vi rekommenderar samtliga kunder som har en hög omsättning och eller hanterar känsliga personuppgifter att anlita en jurist som kan säkerställa den juridiska aspekten.

Process för att hantera GDPR-projekt:

  1. Utse GDPR-ansvarig (Kunden)
  2. Utbilda sig (Kunden)
  3. Kartläggning av personuppgifter (Kunden)
  4. Komplettera kartläggning med teknisk info (Atrox)
  5. Åtgärda rent tekniskt (Atrox)
  6. Åtgärda berörda avtal (Kunden)
  7. Policys & handlingsplaner (Kunden)

Utse GDPR-ansvarig

Personuppgiftsansvarig (Kunden) bör utse GDPR-ansvarig internt som i sin tur ska ansvara för att GDPR-arbetet utförs, och säkerställa att personuppgiftsansvarig följer lagen. I de fall som personuppgiftsansvarig hanterar känsliga personuppgifter kan det vara aktuellt att utse ett dataskyddsombud, samt att ta hjälp av ett juridiskt ombud.

Utbilda sig

För att kunna utföra GDPR-arbetet krävs viss kunskap om lagen och vad denna innebär rent konkret. Har ni ej ännu införskaffat denna kunskap så kan vi rekommendera en film från Allt om Juridik som ger en snabb och bra överblick om vad lagen innebär https://www.bgplay.se/video/dataskyddsforordningen-gdpr/.

Kartläggning av personuppgifter

En kartläggning över samtliga personuppgifter som behandlas inom organisationen ska genomföras och dokumenteras. Denna kartläggning ska även innefatta syftet med behandlingen samt laglig grund för denna. Atrox har tagit fram en mall för kartläggning av personuppgifter (godkänd av Allt om Juridik) som alla våra kunder får ta del av helt kostnadsfritt.

Komplettera kartläggning med teknisk info

Nivån av IT-säkerhet bör självfallet ställas i rimlig proportion till personuppgifternas känslighet. Efter genomförd kartläggning av personuppgifter utför Atrox en s.k. Compliance check på samtliga av våra kunder. I denna Compliance check har vi tagit fram allmänna rekommendationer på IT-säkerhet som kommer att vara aktuell för ca 90% av våra kunder.

Åtgärda rent tekniskt

Här handlar det om att införa de tekniska åtgärder som vi kommit överens om inom Compliance check. Detta skulle t.ex. kunna vara införande av Multi-Factor Authentication (MFA), tvingande knapplås på mobiler eller kryptering av hårddisk på datorer.

Åtgärda berörda avtal

Ett minimum här anser vi vara att teckna biträdesavtal med samtliga Personuppgiftsbiträden. Atrox kommer att se till att förse samtliga av våra kunder med en mall för Personuppgiftsbiträdesavtal som beskriver hur vår behandling av personuppgifter sker i form av personuppgiftsbiträde.

Policys & handlingsplaner

Policys och handlingsplaner kan se lite olika ut från kund till kund, och har att göra med vilken typ av personuppgifter som behandlas. Vi rekommenderar att minst nedan policys och handlingsplaner bör finns på plats.

  1. IT-policy (Atrox har tagit fram en mall för IT-policy)
  2. Policy för behandling av personuppgifter
  3. Handlingsplan för incidenthantering (incident ska anmälas till datainspektionen inom 72 timmar)
  4. Rutiner för underhåll och efterlevnad

För mer info och frågor

Atrox är primärt en IT-leverantör (och kan ej agera juridisk rådgivare). Vår del i detta är att hjälpa våra kunder med att anpassa IT-miljön utefter kravställning från kundens GDPR-ansvarig/dataskyddsombud. Kontakta oss för stöttning i processen samt för att få tillgång till vår mall för kartläggning av personuppgifter, samt mall för IT-policy.

För mer info om GDPR se https://atrox.se/den-nya-dataskyddsforordningen-gdpr/.

För att få hjälp med ovan frågeställningar vänligen kontakta Katinka Nyberg, 08-51 80 41 01, katinka.nyberg@atrox.se.

/Atrox

 

 

 

Var tipsen till nytta?

Ta del av tips, nyheter och guider på mail. Våra prenumeranter får även tillgång till samtliga guider i Atrox supportportal!

Vi levererar moderna IT-lösningar till flera av Sveriges snabbast växande företag Våra kunder
Microsoft Partner