Förberedd för GDPR? Det här behöver du ha koll på innan 25 maj.

I slutet av maj träder den nya dataskyddsförordningen i kraft. Vad innebär den för din organisation? Vad behöver ni göra och vilka rutiner bör ni ha på plats innan dess?

Här följer en checklista med fyra moment du redan bör ha påbörjat.

1) Inventera
Det första naturliga steget är att göra en informationsinventering och en systeminventering. Du måste få järnkoll på vilka personuppgifter och vilken personinformation din organisation har, om era kunder, kundprospekts, medarbetare med mera. Aktuella system att inventera kan vara ärendehanteringssystem och CRM-system. Vilket stöd har ni för registrering, avtal, laglig förpliktelse eller samtycke?

2) Informera och utbilda
Samtliga i din organisation bör få en övergripande information om vad GDPR är och vad det innebär i praktiken (t ex vilken information innefattas?). De som ansvarar för insamling och hantering av information bör utbildas i de nya striktare rutinerna.

3) Nya rutiner
Hur samlar ni in information och hur hanterar vi den? Om det inte finns en laglig förpliktelse eller avtal i botten, måste varje individ godkänna att ni samlar in och hanterar informationen. Dessutom måste ni också hitta och ta bort en individs information om de vill det. Vilka rutiner och vilken organisation kräver detta?

Radera gamla ”bra-att-ha-register” och fokusera på nya rutiner

4) Säkerhet och ansvarig
Dataskyddsförordningen ställer också högre krav på informationssäkerhet, där ISO 27000 är ett rättesnöre. Det innebär bland annat högre krav på er lösenordshantering, hur ni övervakar era routrar och servrar med mera. Dessutom ska varje organisation ha en uttalad infosäkerhetsansvarig med järnkoll på information och rutinerna och vissa åtaganden gentemot Datainspektionen.

Även efter den 25 maj kommer många företag och organisationer att arbeta med dessa saker. Att ha sakerna på plats, eller åtminstone påbörjat arbetet innan 25 maj är viktigt, annars kan straffet blir dryga böter om Datainspektionen gör ett besök.

Lugn. Än finns tid.
Än är det inte för sent att konsultera eller anlita oss på Donald Davies & Partners. Det här kan vi göra redan nu: Allmänna och speciella utbildningar och föreläsningar, projekt kring GDPR-anpassning, informations- och systeminventering, framtagande av ledningssystem för GDPR och implementering av obligatoriskt behandlingsregister enligt artikel 30.

Det nya är att vi inte längre äger informationen, vi lånar den bara

Något oklart kring er GDPR-efterlevnad? Kontakta mig!

konsult-per-arne-brattemo-projektledare-donald-davies-partners
Hälsningar,
Per-Arne Brattemo
Projektledare och partner
Donald Davies & Partners

 

TRE KORTA OM GDPR

  1. Den nya europeiska dataskyddsförordningen (GDPR) börjar gälla 25 maj 2018 för alla företag och organisationer. Den täcker in allt i från insamling av personuppgifter och information från personer, till lagring, bearbetning och användning av den.
  2. Den stora skillnaden blir att företag och organisationer inte längre kan äga personinformation – den är på lån. Om det inte finns laglig förpliktelse att samla in uppgifterna eller ett avtal i botten, måste varje individ ge sitt samtycke till att du får nyttja och behandla informationen. Individen kan när som helst kunna kräva att få sina uppgifter avregistrerade eller ändra dem om de är felaktiga.
  3. Förordningen ställer höga krav på att det finns en personuppgiftsansvarig inom varje organisation. Exempelvis måste register föras över personuppgiftshandlingar och eventuella dataintrång meddelas till Datainspektionen.


Läs mer om vår tjänst: 
GDPR

Vill du veta mer om vad vi kan göra för din verksamhet? Vi kan projekt. Kontakta oss på Donald Davies & Partners.

Vad har du för tankar kring GDPR? Kontakta oss gärna eller fortsätt diskussionen på vår Facebook eller på LinkedIn.

Så förbereder du verksamheten på de nya tuffa GDPR-kraven – 3 tips

Vet du vad du måste göra innan GDPR träder i kraft 25 maj 2018? Den nya Dataskyddsförordningen slår hårt och brett och träffar alla system som innehåller all typ av information om enskilda individer. De som berörs av detta är bolag, offentliga organisationer, föreningar och enskilda individer. GDPR ersätter PUL och innebär bland annat att enskilda, som regel, måste ha gett sitt uttryckliga samtycke för att du ska få samla in uppgifter om dem. De ges även rätt att ta del av och rätta sina uppgifter, och i de flesta fall har de rätt att bli raderade helt, helt enkelt att ”bli bortglömda”. 

Per-Arne Brattemo, projektledare och partner hos Donald Davies & Partners är väl insatt i ämnet och ger dig här tre tips för hur du tacklar utmaningarna med GDPR.

  1. Förankra processen

En GDPR-anpassning kommer i sin förlängning att innebära stora förändringar, nya ledningsprinciper och styrmekanismer för organisationen. Den högsta ledningen kommer att hållas ansvarig vid överträdelser. En genomgång i form av föreläsning eller workshop där ledningsgruppen får sätta sig in i förordningen ordentligt skapar en betydande medvetenhet.

Processen måste förankras och ges fullt stöd från högsta ledning

  1. Gör ett ordentligt kravarbete

Starta en kravprocess som utgår från förordningstexten och eventuellt kompletterande svensk lagstiftning. Förordningen slår olika mot olika organisationer i väsentliga hänseenden. I vissa fall undantas kravet på samtycke, i andra fall inte. Fuska inte i det här arbetet, och framför allt, bortse från ”lathundar” som figurerar allmänt. Chansen är stor att just den inte är tillämpningsbar på er organisation. Det kostar mycket att göra fel här. Kravarbetet ligger sedan till grund för er anpassade projektplan.

  1. Beta av informationskravet

Kravet på att informera om GDPR i organisationen är föreskrivet i förordningen. Börja med att plocka dessa lägst hängande frukter. Genom detta skapar ni nödvändig medvetenhet för de förändringar som kommer. Underskatta inte betydelsen av en (viss) krismedvetenhet för att få uppslutning kring förändringsarbetet. Ta fram en informations- och kommunikationsplan samt informationsmaterial (artiklar på intranätet, powerpoint-presentationer för arbetsplatsträffar, eventuellt självstudiematerial mm) och börja informera. Dina medarbetare är definitivt möjliggöraren!

Informerad personal är många gånger den största sponsorn i de här projekten

Vi förbereder din verksamhet
Med ledning av en konsult från Donald Davies & Partners kan vi förbereda er verksamhet för den nya lagen i ett avgränsat projekt på ett enkelt sätt. Vår projektmodell utgår direkt från GDPR.

Vill du veta mer om vad vi kan göra för din verksamhet? Vi kan projekt. Kontakta oss på Donald Davies & Partners.

konsult-per-arne-brattemo-projektledare-donald-davies-partners
Hälsningar,
Per-Arne Brattemo
Projektledare och partner
Donald Davies & Partners

 

Om GDPR
Den nya EU-dataskyddsförordningen GDPR EU 2016/679 omfattar samtliga uppgifter som kan kopplas till en individ såsom foto, ljud, mail, blogg och övriga dokument. Om inte personer som begär att bli borttagna tas ur dina register, eller om samtycke inte givits för personuppgiftsbehandling, kan du tvingas betala höga böter. GDPR ställer också sanktionerade krav på en (mycket) hög nivå på informationssäkerhet. En incident ska rapporteras inom 72 timmar till Datainspektionen. Vid brott mot förordningen kan avgifter upp till det högre beloppet av 20 miljoner EURO eller 4 % av årsomsättningen dömas ut.

 

Vad har du för tankar kring GDPR? Kontakta oss gärna eller fortsätt diskussionen på vår Facebook eller på LinkedIn.


Läs mer om vår tjänst: 
GDPR