Förberedd för GDPR? Det här behöver du ha koll på innan 25 maj.

I slutet av maj träder den nya dataskyddsförordningen i kraft. Vad innebär den för din organisation? Vad behöver ni göra och vilka rutiner bör ni ha på plats innan dess?

Här följer en checklista med fyra moment du redan bör ha påbörjat.

1) Inventera
Det första naturliga steget är att göra en informationsinventering och en systeminventering. Du måste få järnkoll på vilka personuppgifter och vilken personinformation din organisation har, om era kunder, kundprospekts, medarbetare med mera. Aktuella system att inventera kan vara ärendehanteringssystem och CRM-system. Vilket stöd har ni för registrering, avtal, laglig förpliktelse eller samtycke?

2) Informera och utbilda
Samtliga i din organisation bör få en övergripande information om vad GDPR är och vad det innebär i praktiken (t ex vilken information innefattas?). De som ansvarar för insamling och hantering av information bör utbildas i de nya striktare rutinerna.

3) Nya rutiner
Hur samlar ni in information och hur hanterar vi den? Om det inte finns en laglig förpliktelse eller avtal i botten, måste varje individ godkänna att ni samlar in och hanterar informationen. Dessutom måste ni också hitta och ta bort en individs information om de vill det. Vilka rutiner och vilken organisation kräver detta?

Radera gamla ”bra-att-ha-register” och fokusera på nya rutiner

4) Säkerhet och ansvarig
Dataskyddsförordningen ställer också högre krav på informationssäkerhet, där ISO 27000 är ett rättesnöre. Det innebär bland annat högre krav på er lösenordshantering, hur ni övervakar era routrar och servrar med mera. Dessutom ska varje organisation ha en uttalad infosäkerhetsansvarig med järnkoll på information och rutinerna och vissa åtaganden gentemot Datainspektionen.

Även efter den 25 maj kommer många företag och organisationer att arbeta med dessa saker. Att ha sakerna på plats, eller åtminstone påbörjat arbetet innan 25 maj är viktigt, annars kan straffet blir dryga böter om Datainspektionen gör ett besök.

Lugn. Än finns tid.
Än är det inte för sent att konsultera eller anlita oss på Donald Davies & Partners. Det här kan vi göra redan nu: Allmänna och speciella utbildningar och föreläsningar, projekt kring GDPR-anpassning, informations- och systeminventering, framtagande av ledningssystem för GDPR och implementering av obligatoriskt behandlingsregister enligt artikel 30.

Det nya är att vi inte längre äger informationen, vi lånar den bara

Något oklart kring er GDPR-efterlevnad? Kontakta mig!

konsult-per-arne-brattemo-projektledare-donald-davies-partners
Hälsningar,
Per-Arne Brattemo
Projektledare och partner
Donald Davies & Partners

 

TRE KORTA OM GDPR

  1. Den nya europeiska dataskyddsförordningen (GDPR) börjar gälla 25 maj 2018 för alla företag och organisationer. Den täcker in allt i från insamling av personuppgifter och information från personer, till lagring, bearbetning och användning av den.
  2. Den stora skillnaden blir att företag och organisationer inte längre kan äga personinformation – den är på lån. Om det inte finns laglig förpliktelse att samla in uppgifterna eller ett avtal i botten, måste varje individ ge sitt samtycke till att du får nyttja och behandla informationen. Individen kan när som helst kunna kräva att få sina uppgifter avregistrerade eller ändra dem om de är felaktiga.
  3. Förordningen ställer höga krav på att det finns en personuppgiftsansvarig inom varje organisation. Exempelvis måste register föras över personuppgiftshandlingar och eventuella dataintrång meddelas till Datainspektionen.


Läs mer om vår tjänst: 
GDPR

Vill du veta mer om vad vi kan göra för din verksamhet? Vi kan projekt. Kontakta oss på Donald Davies & Partners.

Vad har du för tankar kring GDPR? Kontakta oss gärna eller fortsätt diskussionen på vår Facebook eller på LinkedIn.