5 frågor på vägen mot GDPR-efterlevnad
Har ni börjat titta på kraven kring GDPR än? Om inte så är det hög tid. I den här artikeln listar vi 5 frågor att svara på som ett första steg mot GDPR-efterlevnad.
Som IT-förvaltare har vi extra mycket att göra kopplat till GDPR, eftersom vi är ett så kallat personuppgiftsbiträde. Men alla företag berörs av GDPR, General Data Protection Regulation, som träder i kraft i EU den 25 maj.
Vad är GDPR?
Den nya lagen skärper kraven på vilka personuppgifter ni får samla in (från såväl kunder som leverantörer och medarbetare), hur denna data lagras och används och även på de interna rutiner ni har för att leva upp till de nya bestämmelserna.
Därmed påverkar GDPR bland annat vilken information företag har i sina CRM-system, hur de får skicka kommunikation till ”kalla kontakter”, hur länge de får lagra personuppgifter etc.
På vår resa att bli en GDPR-compliant verksamhet och partner har vi bland annat ett nära samarbete med jurister på EdmarLaw. I samarbete med dem har vi tagit fram fem GDPR-förberedande frågor.
5 GDPR-förberedande frågor
Ett första steg för att kunna uppfylla GDPR är att svara på följande fem frågor:
- Vilka personuppgifter behöver din verksamhet samla in för att utföra sina tjänster?
- För vilka ändamål kommer uppgifterna att behandlas?
- Vem kommer ha åtkomst till uppgifterna?
- Var kommer uppgifterna att lagras?
- Hur kommer incidentrapportering att hanteras?
Enligt GDPR får du bara samla in uppgifter som är relevanta för att bedriva din verksamhet. Du behöver också synliggöra för vilka ändamål uppgifterna behandlas, vem som har åtkomst till dem och var de kommer att lagras. Detta görs till exempel i era avtal med kunder och i en ”privacy policy”.
Du behöver också dokumentera (för att kunna visa upp på begäran) vilka rutiner din organisation har för att leva upp till GDPR och hur ni hanterar incidenter.
Se över system
Detta sagt behöver du se över de system ni använder, se till att den information ni har däri är berättigad, att inte obehöriga har åtkomst till viss data och säkerställa att ni inför rutiner som gör att kraven efterlevs. Om ni arbetar med försäljning behöver ni exempelvis en rutin som säkrar att säljrepresentanter inte matar in personliga uppgifter om sina kontakter.
Sammanfattningsvis behöver ni:
- Tydliggöra er hantering av personuppgifter mot relationer
- Skriva ner hur ni gör internt
- Se till att de system ni använder är ”compliant”
Det här gör vi på IT-Partner
Som personuppgiftsbiträde är vi ansvariga för lagringen av data för våra kunders räkning. Vi skapar de tekniska förutsättningarna för att kunna uppfylla GDPR-kraven. Vi säkerställer till exempel att lagrade personuppgifter enkelt kan plockas fram på begäran, att utvald data kan raderas efter en viss tid, att en person kan ”glömmas bort” och att data som raderats inte återförs vid en backup.
Som vi tidigare skrivit kommer vi också att ta fram det personbiträdesavtal som lagen kräver att du har när någon behandlar personuppgifter för er räkning.