Dataskydd är inte bara en IT-fråga

Med mindre än 12 månader kvar tills EU:s nya Allmänna dataskyddsförordning träder i kraft är det viktigare än någonsin att se över vad som behöver göras.

Sanktionsavgifter på upp till 4 % av den årliga världsomsättningen eller 20 miljoner euro (beroende på vilket värde som är högst) för företag som bryter mot reglerna gör den nya lagstiftningen omöjlig att bortse från. I Irland verkar det finnas en utbredd uppfattning om att dataskydd och regelefterlevnad på området i första hand är ett IT-problem, men det är ett synsätt som snabbt kan leda till stora – och dyra – problem.

Naturligtvis spelar IT en stor roll i hur företag hanterar information och integritetsfrågor, men dataskydd är i grund och botten något som rör hela organisationen.

Enligt GDPR Awareness Coalition, en samarbetspartner till IT Governance, finns det i första hand sex avdelningar där medvetenhet om dataskyddsförordningen är särskilt viktiga.

Nedan går vi igenom vilka avdelningar det är och vad de behöver tänka på inför införandet av de nya reglerna.

Personaladministration & HR

Personalavdelningar arbetar ofta med känsliga och personliga uppgifter om anställda. Du som jobbar med personaladministration bör tänka igenom följande punkter:

  • Vilka personuppgifter/känsliga uppgifter samlas in som en del av ditt arbete?
  • Dokumenteras det varför data samlas in om de anställda eller till och med om potentiella anställda?
  • Förklaras samtycke för de anställda och får de veta hur deras uppgifter behandlas?
  • Är alla på avdelningen medvetna om de nya särskilda personuppgiftskategorierna, och stämmer upprättade policyer och formulär överens med dem?

Juridik

I och med den nya förordningen uppdateras både de uppgiftsregistrerades rättigheter och svarstiderna vid krav på tillgång till uppgifter. För juridiska avdelningar är följande punkter särskilt viktiga att fundera över:

  • Hur hanteras krav på tillgång till uppgifter från registrerade?
  • Är processen dokumenterad?
  • Är någon del av den automatiserad?
  • Kan den hantera flera samtidiga krav på data?
  • Känner alla till de nya svarstiderna?
  • Finns företagets policyer om datalagring publicerade?

Marknadsföring

Den nya dataskyddsförordningen är utformad för att stärka och likrikta dataskyddet för medborgare i EU, och ersätter befintliga dataskyddslagar i samtliga medlemsländer. För dig som arbetar med marknadsföring innebär detta flera stora förändringar, och du bör redan nu fundera över följande frågor:

  • När samtycke lämnas till insamling av personuppgifter (t.ex. genom att en ruta kryssas i), förklaras det då tydligt i vilket syfte uppgifterna samlas in och hur de behandlas?
  • Lämnas samtycke uttryckligen och har personen som ger sitt samtycke tillgång till all relevant information?

Ekonomi

Dataskyddsförordningen gäller även nätidentifierare (t.ex. SEPA) och ID-nummer av olika slag (t.ex. anställningsnummer). Du som arbetar med ekonomi måste därmed ta ställning till följande:

  • Är processerna för hantering av identifierare säkra?
  • Har du gått igenom sanktionsavgifterna i den nya förordningen och finns de med i beräkningen vid eventuell riskplanering?

IT

Även om dataskydd inte bara bör ses som en IT-fråga, ska IT-avdelningens roll inte heller underskattas. Tekniska system är avgörande för effektiv hantering och styrning av integritets- och datasäkerhet. Som IT-tekniker bör du fundera över följande punkter:

  • Vet du vilka system som hanterar personuppgifter, inklusive de nya särskilda kategorierna av personuppgifter?
  • Vet du hur man gör för att hitta specifika uppgifter om den uppgiftsregistrerade ber om tillgång till dem? Vet du hur man gör för att radera dem?
  • Lagras uppgifterna på ett säkert sätt, antingen lokalt eller i molnet?
  • Kan du identifiera säkerhetsöverträdelser – t.ex. dataintrång – och bedöma vilka konsekvenser överträdelsen har för de registrerades personliga integritet?
  • Finns det en rutin för att anmäla intrånget till ansvarig myndighet inom 72 timmar?

Inköp

Enligt den nya dataskyddsförordningen är organisationer ansvariga för data i hela leveranskedjan.

  • Om en underleverantör behandlar uppgifter för ditt företags räkning och du är personuppgiftsansvarig måste du se till att personuppgiftsbiträdet ger tillräckliga garantier för att genomföra tekniska och organisatoriska åtgärder som uppfyller kraven i dataskyddsförordningen.

Som du ser påverkar dataskyddsförordningen flera olika delar av din organisation, och företag som bara fokuserar på IT kommer snart att stöta på problem. Om du och dina kollegor är inblandade i ert företags dataskyddsarbete rekommenderar vi att ni tar initiativ till en dialog med kollegor på andra avdelningar.

Förberedelserna för den nya dataskyddsförordningen bör med fördel ses som ett gemensamt projekt där människor och teknik samverkar för att bygga upp ett företag med grundmurade integritetssystem som både anställda och kunder kan lita på.

Våra konsulter hjälper dig gärna med en övergångsanalys, där de bedömer företagets nuvarande nivå och föreslår förbättringsområden som företaget behöver ta itu med innan maj 2018. Läs mer.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.