Ett år med fokus på dataskyddsfrågor – vad bör vi ha gjort och göra framöver?

Den 25 maj 2018 började GDPR tillämpas i hela Europa. Ett datum som markerade dagen då alla bolag var tvungna att ha processer på plats för att säkerställa regelefterlevnaden kring dataskydd. Att GDPR-arbetet nu skulle vara över är en vanlig missuppfattning. Vad ska vara gjort och framför allt, vart bör fokus ligga på framåt?

Under förra året slet många företag sitt hår under projektet med att få GDPR-arbetet på plats. GDPR är dock inte en engångsinsats utan arbetet måste ske löpande för att hållas aktuellt och uppdaterat. Att hantera personuppgifter korrekt blir med tiden en allt mer viktig del för att behålla konsumenters, kunders och samarbetspartners förtroende, vilket kräver att vi måste ha en långsiktig strategi på plats. Bland annat att ha ett antal åtgärder på plats om vi vill undvika personuppgiftsincidenter med allvarliga konsekvenser och kostsamma sanktionsavgifter.

Vad bör finnas på plats?
Några av de viktigaste bitarna att få på plats är ett artikel 30-register som är ett register över våra personuppgiftsbehandlingar i organisationen. Att informera de registrerade om lagstadgad information är också viktigt och att få personuppgiftsbiträdesavtal på plats med externa leverantörer av exempelvis molntjänster. Vi bör också ha en rutin redo för att kunna hantera incidenter i enlighet med lagens krav.

En viktig princip i GDPR är även att säkerställa att endast de personer som behöver ha tillgång till utvalda personuppgifter har det. Tillräcklig säkerhet i form av brandväggar, loggning och behörighetsstyrning är därför nödvändigt att se över. 

Nyckelpersonerna  
Det är alltså många bitar som bör vara på plats både ur ett tekniskt och organisatoriskt perspektiv. Allt detta måste sedan hållas aktuellt och uppdateras i takt med verksamheten, likaså GDPRs tillämpning utifrån tillsynsmyndigheterna och EU-domstolen. Men det som i slutändan blir vitalt är att vi följer våra egna rutiner och riktlinjer.

Nyckelpersonerna i vår personuppgiftshantering är medarbetarna i den dagliga verksamheten. Den svenska tillsynsmyndigheten, Datainspektionen, har gjort en kartläggning av alla anmälda personuppgiftsincidenter under 2018 som visar att 61% utlöstes av den mänskliga faktorn. Långsiktigt är det därför viktigt att alla i organisationen har en grundläggande kunskap om vad som gäller och att man vet hur man upptäcker, hanterar situationer och vem man vänder sig till.

Okunskap är organisationens stora hot framåt
En medveten anställd kommer att reagera på om rutiner och tillvägagångssätt inte följs och kommer känna igen tecken på att en personuppgiftsincident kan ha skett. Den mänskliga faktorn kommer alltid vara närvarande, men en medvetenhet hos de anställda kommer förbygga incidenter och minimera risker.

Målet för alla organisationer bör vara att skapa en kultur där vi själva vill upptäcka brister innan Datainspektionen eller andra aktörer gör det.

De anställda spelar en nyckelroll i våra organisationer och deras okunskap är en av organisationernas stora hot. Frågan som arbetsgivare återkommande framöver bör ställa sig själva är: Hur informerade är våra medarbetare vad gäller personuppgiftshantering?