Med jurister, informationssäkerhetsexperter, strateger och arkitekter har Certezza god kompetens inom IT & juridik vilket innebär en god förmåga att hantera organisationers anpassningsarbete till den nya dataskyddsförordningen.
Den 25 maj 2018 träder dataskyddsförordningen i kraft och ersätter personuppgiftslagen. Förordningen utvidgar enskildas rättigheter och skärper kraven för myndigheter och företag som behandlar personuppgifter. Det ställs högre krav på kunskap om dataskyddsförordningen som kommer behöva behärskas av hela organisationen – från ledningsgrupp till personal.
Skyddet mot behandling av personuppgifter är tillsammans med bland annat yttrandefrihet, religionsfrihet och näringsfrihet grundläggande rättigheter. EU-domstolen har de senaste åren tydligt klargjort detta, bland annat genom att upphäva datalagringsdirektivet och Safe Harbour-beslutet samt genom att fastslå ”rätten att bli bortglömd” i Google-målet. Införandet av den nya dataskyddsförordningen befäster rättighetens ställning ytterligare.
Den nya daskyddsförordningen innebär att gällande bestämmelser kommer skärpas men även att en del nya bestämmelser tillkommer. Förordningens krav på företag och myndigheter innebär att förändringar inom IT, organisation, styrning och processer kommer bli nödvändiga. Det är därför av vikt att organisationer vidtar åtgärder redan nu då kraven kan medföra stora tekniska och organisatoriska förändringar. De organisationer som inte följer förordningen riskerar sanktionsavgifter som kan uppgå till 20 miljoner euro eller 4 % av den globala årsomsättningen.
Det är tydligt att personuppgiftsbehandling kommer behöva tas på större allvar än tidigare och dataskyddsförordningen lägger stor vikt vid personuppgiftsansvarigas skyldighet att kunna bevisa att förordnigen följs.
Viktiga förändringar
För att säkra efterlevnad av dataskyddsförordningen behöver förändringsarbetet inledas i god tid. Det finns några grundläggande punkter att fokusera på.
Dataskyddsförordningen till lednings- och personalnivå. Ledningen måste förstå vikten av förordningen och vilka konsekvenser det kan få för organisationen och personalen behöver utbildas i den nya förordningen för att veta vilka krav som ställs enligt regelverket.
Inventera organisationens nuvarande personuppgiftshantering. För att veta vad som behöver göras för att leva upp till dataskyddsförordningen måste organisationen reda ut hur personuppgifter behandlas i dagsläget.
Genomför GAP-analys. En jämförelse av hur personuppgifter hanteras för närvarande i relation till hur de ska behandlas framöver för att leva upp till dataskyddsförordningen och de interna kraven.
Informationsklassning och riskanalys. Anpassningsarbetet beror i stor grad på vilka personuppgifter organisationen behandlar. Utifrån att avgöra hur skyddsvärd informationen är avgörs vilka system som krävs för behandling. Det är viktigt att avgöra vilka personuppgifter som är känsliga och vilka som inte är det, med vilket stöd de lagras och behandlas.
Inventera IT-miljön och inled utvecklingsarbetet. Dataskyddsförordningen ställer krav på att organisationens dataskydd anpassas efter de personuppgifter som behandlas, Privacy by Design. En granskning av IT-system, databaser och verksamhetsprocesser (HR, CRM-system, hemsidor o.s.v.) gör det möjligt att värdera vilka personuppgifter som behandlas och var de lagras samt hur dessa kommunicerar internt och externt.
Utse dataskyddsombud och tydliggör organisationens ansvarfördelning. Det ställs höga krav på tydlighet kring organisationens personuppgiftsbehandling och ansvarsfördelningen. Företag med omfattande personuppgiftshantering och företag kommer behöva utse dataskyddsombud.
Avsätt budget och börja i tid. Många organisationer står inför stora förändringsarbeten vilket kommer kräva resurser och pengar. Att leva upp till dataskyddsförordningen ställer krav på ansvar. Rutiner, processer, styrdokument, avtal, blanketter, IT och juridik är alla områden som kommer behöva översyn och förändring.
Certezza bistår organisationer med förberedelserna inför dataskyddsförordningens ikraftträdande och erbjuder fullständiga implementeringsprojekt och utbildningar men även enskilda anpassningar. Med bred kunskap inom området kan Certezza bistå organisationer med flera steg i anpassningsarbetet. Metoderna utgår från organisationens specifika behov och förordningens bestämmelser.
Certezza erbjuder