Så väljer du rätt saker att åtgärda innan GDPR träder i kraft

Klockan går – det finns inte mycket tid att spilla innan EU:s nya dataskyddsförordning (GDPR) träder i kraft den 25 maj 2018. ”Men få inte panik. Se istället till att agera nu direkt, och se till att du gör rätt saker. Det hjälper dig att undvika såväl böter som ett dåligt rykte, även om du inte kommit i mål helt till den 25 maj”, säger Daniel Hjort, chef för Smart ID-lösningen hos identitets- och säkerhetsföretaget Nexus Group.

Den förestående dataskyddsförordningen GDPR gör många chefer stressade och kanske till och med rädda.

”Och det är förståeligt. GDPR är verkligen inte tandlös, och det är en mycket omfattande förordning: den består av 99 artiklar, som stipulerar individernas rättigheter och organisationernas skyldigheter”, säger Daniel Hjort.

Syftet med förordningen är att ge EU:s medborgare möjlighet att få kontroll över personuppgifter som organisationer samlar, bearbetar och lagrar.

”För att se till att alla organisationer följer GDPR finns det också ett ganska hårt system för böter. Men det är inte böterna som skrämmer chefer och företagsledare mest, eftersom myndigheterna förmodligen inte kommer vara redo att börja göra inspektioner den 25 maj. Det största hotet under våren är att få ett dåligt rykte på marknaden, eftersom både individer och medier redan börjat förbereda sig för att testa organisationer så snart GDRP trätt i kraft”, säger Daniel Hjort.


Ladda ner: IT-chefens lathund – Ligg steget före säkerhetsproblemen


Förbered din organisation inför den 25 maj genom att fokusera på de här 12 åtgärderna:

1. Se till att din organisation följer den nuvarande, nationella personuppgiftslagen.

”GDPR bygger på gällande lagstiftning, men är mer omfattande. Och medan många lokala lagstiftningar har varit ganska tandlösa så är GDPR tydligare när det gäller vad som händer om du ignorerar den”, säger Daniel Hjort.

2. Ta reda på vilka data som omfattas av GDPR, och var och hur datan lagras.

”Data som omfattas kan vara allt från ett namn, ett foto, en e-postadress eller bankuppgifter, till inlägg på sociala nätverk eller en IP-adress. Glöm inte något av dina system – du lagrar förmodligen personlig information på fler ställen än du först tror. Och glöm inte att data om dina egna medarbetare också ofta ligger inom ramen för GDPR”, säger Daniel Hjort.

3. Klassificera den data som omfattas av GDPR.

”När du har reducerat mängden data till bara det du verkligen behöver och identifierat dataägarna så bör du bestämma dig för ett system för dataklassificering. Ett exempel på ett sådant system är att markera data som officiell, konfidentiell eller strikt konfidentiell. Det finns många dataklassificeringsföretag som gärna vill hjälpa dig, men du kan enkelt implementera ditt system själv med hjälp av sidhuvuden och -fötter, vattenstämplar eller visuell märkning. Kombinera detta med utbildning i klassificeringen för de anställda för att få högre medvetenhet och kunskap i din organisation. Och se till att välja ett system som är tydligt, enkelt och relevant för din verksamhet”, säger Daniel Hjort.

4. Se till att du kan styra åtkomsten till datan.

”Lösningen är att kräva att anställda använder tvåfaktorsautentisering för att få tillgång till och hantera känslig GDPR-data”, säger Daniel Hjort.

5. Bestäm dig för hur din organisation ska få EU-medborgares samtycke till att ni lagrar deras data.

”Och glöm inte att du även måste hantera föräldrars samtycke när det gäller data om minderåriga”, säger Daniel Hjort.

6. Implementera ett system för att kontrollera identiteten på de individer som ber dig vidta åtgärder angående de uppgifter du har om dem.

”GDRP ger alla EU-medborgare rätt att veta vilka uppgifter du har om dem, och du måste också ge dem uppgifterna eller radera uppgifterna på deras begäran. Att ha inloggning med tvåfaktor-autentisering till kund- och partnerportaler förenklar den här interaktionen. Om folk bara skickar e-post med förfrågningar så har du ingen möjlighet att verifiera att personerna är dem de utger sig för att vara”, säger Daniel Hjort.

7. Skapa processer för att hantera förfrågningar om att lämna över eller radera data.

”Sannolikheten är stor att någon testar dig på det här så fort GDPR träder i kraft, så du bör förbereda din organisation. Om journalisterna inte får ut sina uppgifter inom den stipulerade tidsramen finns det risk för dålig publicitet. Och om de inte får ut sina uppgifter inom 3 veckor så är risken för ordentlig badwill väldigt stor”, säger Daniel Hjort.

8. Förbered dig för att samla ihop, paketera och lämna ut begärda data.

”I vilka databaser ska du leta efter informationen? Och hur ska du paketera datan – som en zip-fil, en PDF-fil eller i något annat format?” säger Daniel Hjort.

9. Se till att du kan leverera datan på ett säkert och konfidentiellt sätt.

”Jag är rädd att många organisationer kommer få panik och skicka konfidentiell information i ett e-postmeddelande för att kunna lämna över datan inom den angivna tiden. Men att göra så är ett stort misstag – du måste förbereda ett säkert leveranssätt för datan”, säger Daniel Hjort.

10. Förbered procedurer för att hantera stöld av data.

”Du måste informera myndigheter och berörda individer utan oskälig fördröjning”, säger Daniel Hjort.

11. Om din organisation har mer än 250 anställda ställer GDPR ännu hårdare krav på dig. Bland annat måste du kunna motivera varför personlig information samlas in, lagras och bearbetas.

”Du måste också ha beskrivningar av vilken information du har och vilka tekniska säkerhetsåtgärder du har infört”, säger Daniel Hjort.

12. Ta reda på om din organisation är skyldig att utse ett dataskyddsombud (data protection officer), och utse ett om så är fallet.

”Jag kan inte garantera att du följer GDPR till 100 procent efter att ha vidtagit de här 12 åtgärderna – men det är inte heller meningen. Jag tror inte att någon organisation kommer att följa förordningen helt och hållet den 25 maj, eftersom GDPR är så stor och omfattande. Men att följa ovanstående lista hjälper dig att undvika böter och ett dåligt rykte, eftersom du visar att du vidtagit åtgärder och fokuserat på att göra rätt saker”, säger Daniel Hjort.

Nexus Smart ID-lösning är idealisk för att få kontroll över många av de tekniska aspekterna av GDPR-förberedelserna. Kontakta Daniel Hjort eller en annan Nexus-representant om du vill veta mer.

Du kan även hitta ytterligare information om GDPR här på Datainspektionens hemsida.

Guide: Ladda ner vår lathund med de viktigaste säkerhetsåtgärderna