GDPR – Dataskyddsförordningen

Med jurister, informationssäkerhetsexperter, strateger och arkitekter har Certezza god kompetens inom IT & juridik vilket innebär en god förmåga att hantera organisationers anpassningsarbete till den nya dataskyddsförordningen.

Den 25 maj 2018 träder dataskyddsförordningen i kraft och ersätter personuppgiftslagen. Förordningen utvidgar enskildas rättigheter och skärper kraven för myndigheter och företag som behandlar personuppgifter. Det ställs högre krav på kunskap om dataskyddsförordningen som kommer behöva behärskas av hela organisationen – från ledningsgrupp till personal.

Skyddet mot behandling av personuppgifter är tillsammans med bland annat yttrandefrihet, religionsfrihet och näringsfrihet grundläggande rättigheter. EU-domstolen har de senaste åren tydligt klargjort detta, bland annat genom att upphäva datalagringsdirektivet och Safe Harbour-beslutet samt genom att fastslå ”rätten att bli bortglömd” i Google-målet. Införandet av den nya dataskyddsförordningen befäster rättighetens ställning ytterligare.

Den nya daskyddsförordningen innebär att gällande bestämmelser kommer skärpas men även att en del nya bestämmelser tillkommer. Förordningens krav på företag och myndigheter innebär att förändringar inom IT, organisation, styrning och processer kommer bli nödvändiga. Det är därför av vikt att organisationer vidtar åtgärder redan nu då kraven kan medföra stora tekniska och organisatoriska förändringar. De organisationer som inte följer förordningen riskerar sanktionsavgifter som kan uppgå till 20 miljoner euro eller 4 % av den globala årsomsättningen.

Det är tydligt att personuppgiftsbehandling kommer behöva tas på större allvar än tidigare och dataskyddsförordningen lägger stor vikt vid personuppgiftsansvarigas skyldighet att kunna bevisa att förordnigen följs.

Viktiga förändringar

  • Sanktionsavgifter införs
  • Enskildas rättigheter förstärks
  • Krav på inbyggt dataskydd och dataskydd som standard (Privacy by Design & Privacy by Default)
  • Missbruksregeln försvinner och det kommer inte längre vara ett förenklat regelverk för personuppgifter i ostrukturerat material
  • Krav på risk- och konsekvensanalys
  • Striktare krav på samtycken
  • Skyldighet att anmäla personuppgiftsincident
  • Skärpta regler vid gränsöverskridande behandling
  • Utökat ansvar för organisationen

För att säkra efterlevnad av dataskyddsförordningen behöver förändringsarbetet inledas i god tid. Det finns några grundläggande punkter att fokusera på.

Dataskyddsförordningen till lednings- och personalnivå. Ledningen måste förstå vikten av förordningen och vilka konsekvenser det kan få för organisationen och personalen behöver utbildas i den nya förordningen för att veta vilka krav som ställs enligt regelverket.

Inventera organisationens nuvarande personuppgiftshantering. För att veta vad som behöver göras för att leva upp till dataskyddsförordningen måste organisationen reda ut hur personuppgifter behandlas i dagsläget.

Genomför GAP-analys. En jämförelse av hur personuppgifter hanteras för närvarande i relation till hur de ska behandlas framöver för att leva upp till dataskyddsförordningen och de interna kraven.

Informationsklassning och riskanalys. Anpassningsarbetet beror i stor grad på vilka personuppgifter organisationen behandlar. Utifrån att avgöra hur skyddsvärd informationen är avgörs vilka system som krävs för behandling. Det är viktigt att avgöra vilka personuppgifter som är känsliga och vilka som inte är det, med vilket stöd de lagras och behandlas.

Inventera IT-miljön och inled utvecklingsarbetet. Dataskyddsförordningen ställer krav på att organisationens dataskydd anpassas efter de personuppgifter som behandlas, Privacy by Design. En granskning av IT-system, databaser och verksamhetsprocesser (HR, CRM-system, hemsidor o.s.v.) gör det möjligt att värdera vilka personuppgifter som behandlas och var de lagras samt hur dessa kommunicerar internt och externt.

Utse dataskyddsombud och tydliggör organisationens ansvarfördelning. Det ställs höga krav på tydlighet kring organisationens personuppgiftsbehandling och ansvarsfördelningen. Företag med omfattande personuppgiftshantering och företag kommer behöva utse dataskyddsombud.

Avsätt budget och börja i tid. Många organisationer står inför stora förändringsarbeten vilket kommer kräva resurser och pengar. Att leva upp till dataskyddsförordningen ställer krav på ansvar. Rutiner, processer, styrdokument, avtal, blanketter, IT och juridik är alla områden som kommer behöva översyn och förändring.

 

Certezza bistår organisationer med förberedelserna inför dataskyddsförordningens ikraftträdande och erbjuder fullständiga implementeringsprojekt och utbildningar men även enskilda anpassningar. Med bred kunskap inom området kan Certezza bistå organisationer med flera steg i anpassningsarbetet. Metoderna utgår från organisationens specifika behov och förordningens bestämmelser.

Certezza erbjuder

  • Kompetens inom IT & juridik
  • Utbildningar
  • GAP-analyser
  • Adressering av de brister som uppmärksammas i GAP-analys
  • Informationsklassning
  • Framtagning av Privacy by Design-strategi
  • Test av systemsäkerhet genom bl.a. penetrationstest
  • Föredrag i Dataskyddsförordningen för ledningsgrupper och beslutsfattare

    Efterlevnad av Dataskyddsförordningen (GDPR) kräver engagemang, men också kunskap om vilka aktiviteter som behöver prioriteras och planeras. En förutsättning för detta är att beslutsfattare i stora drag känner till kraven och i rätt tid ger organisationen förutsättningar för att lyckas.

  • Certezzas Informations- och IT-säkerhetsutbildning

    Tanken med kursen är att ge de viktigaste kunskaperna inom informations- och IT-säkerhetsområdet. Du får en bred bild av området och en fast grund att stå på i ditt fortsatta informations- och IT-säkerhetsarbete.

    Kurstillfällen
    2017-11-13 - Anmäl dig här!
    2018-04-10 - Anmäl dig här!

  • Utbildning Dataskyddsförordningen (GDPR)

    Vilka konsekvenser får dataskyddsförordningen för er hantering av personuppgifter? Har ni idag kontroll och tydliga riktlinjer för hur personuppgifter ska hanteras? Har personuppgifter i er organisation rätt skydd? Vilka processer och rutiner behöver tas fram eller uppdateras för efterlevnad av den nya lagen?

    Kurstillfällen
    2017-11-16 - Anmäl dig här!
    2018-03-08 - Anmäl dig här!

  • Utbildning till Dataskyddsombud (DPO)

    Kursen vänder sig till dig som vill inhämta kunskaper för att kunna vara DPO/Dataskyddsombud eller vara huvudansvarig (projektledare) för att för att förbereda ditt företag/organisation för att klara kraven i GDPR - Dataskyddsförordningen.

    Kurstillfällen
    2017-11-22 - Fullbokat
    2018-02-06 - Anmäl dig här!
    2018-02-20 - Anmäl dig här!
    2018-04-26 - Anmäl dig här!

  • Säkerhetsarkitektur

    Ett LIS och en säkerhetsarkitektur ska existera i symbios med varandra. Ett LIS svarar för vad som skall göras och säkerhetsarkitekturen svarar för hur det skall göras.

  • Informationssäkerhet

    Inom området informationssäkerhet säkerställs att information, oavsett dess plats, art eller form hanteras i enlighet med dess skyddsvärde.

  • Logghantering

    Detta område syftar till att erbjuda tjänster för att nå en sund nivå av loggning. Spårbarhet och överblick av miljö för att få ökad förståelse för system- och näthändelser.