GDPR-konsult Trond Falkenberg
GDPR-projektledare & Dataskyddsspecialist
Efterlevnad av Dataskyddsförordningen (GDPR)
'%3E%3Cg%20id%3D'icon-courses'%20transform%3D'translate(456.000000,%201547.000000)'%3E%3Cg%20id%3D'Group-3'%20transform%3D'translate(0.000000,%204.000000)'%3E%3Cmask%20id%3D'mask-2'%20fill%3D'%23d4901e'%3E%3Cuse%20xlink%3Ahref%3D'%23path-1'%2F%3E%3C%2Fmask%3E%3Cg%20id%3D'Clip-2'%2F%3E%3Cpath%20d%3D'M15.0231111,26.98296%20L0.444148148,26.98296%20C0.198814815,26.98296%20-0.000296296296,26.78136%20-0.000296296296,26.53296%20L-0.000296296296,0.47136%20C-0.000296296296,0.22296%200.198814815,0.02136%200.444148148,0.02136%20L3.28918519,0.02136%20C3.53451852,0.02136%203.73362963,0.22296%203.73362963,0.47136%20C3.73362963,0.72036%203.53451852,0.92136%203.28918519,0.92136%20L0.888592593,0.92136%20L0.888592593,26.08296%20L15.0231111,26.08296%20C15.2684444,26.08296%2015.4675556,26.28456%2015.4675556,26.53296%20C15.4675556,26.78136%2015.2684444,26.98296%2015.0231111,26.98296'%20id%3D'Fill-1'%20fill%3D'rgba(0,0,0,1)'%20mask%3D'url(%23mask-2)'%2F%3E%3C%2Fg%3E%3Cpath%20d%3D'M46.4915254,31%20L32.4561674,31%20C32.204363,31%2032,30.7981129%2032,30.5493591%20C32,30.3006053%2032.204363,30.0987182%2032.4561674,30.0987182%20L46.0365745,30.0987182%20L46.0864488,4.90128182%20L43.1462979,4.90128182%20C42.8944936,4.90128182%2042.6901306,4.69999555%2042.6901306,4.45064091%20C42.6901306,4.20188713%2042.8944936,4%2043.1462979,4%20L46.5438326,4%20C46.664869,4%2046.7816479,4.04806836%2046.8667991,4.13278886%20C46.9525586,4.21750935%2047,4.33227257%2047,4.45184262%20L46.9476928,30.5499599%20C46.9470846,30.7987137%2046.7433298,31%2046.4915254,31'%20id%3D'Fill-4'%20fill%3D'rgba(0,0,0,1)'%2F%3E%3Cpath%20d%3D'M18.5211951,5%20L9.4788049,5%20C9.2145046,5%209,4.776%209,4.5%20C9,4.224%209.2145046,4%209.4788049,4%20L18.5211951,4%20C18.7854954,4%2019,4.224%2019,4.5%20C19,4.776%2018.7854954,5%2018.5211951,5'%20id%3D'Fill-6'%20fill%3D'rgba(0,0,0,1)'%2F%3E%3Cpath%20d%3D'M19.5477452,12%20L6.45225481,12%20C6.20261016,12%206,11.776%206,11.5%20C6,11.224%206.20261016,11%206.45225481,11%20L19.5477452,11%20C19.7973898,11%2020,11.224%2020,11.5%20C20,11.776%2019.7973898,12%2019.5477452,12'%20id%3D'Fill-8'%20fill%3D'rgba(0,0,0,1)'%2F%3E%3Cpath%20d%3D'M15.5581217,18%20L6.44187828,18%20C6.19796147,18%206,17.776%206,17.5%20C6,17.224%206.19796147,17%206.44187828,17%20L15.5581217,17%20C15.8020385,17%2016,17.224%2016,17.5%20C16,17.776%2015.8020385,18%2015.5581217,18'%20id%3D'Fill-10'%20fill%3D'rgba(0,0,0,1)'%2F%3E%3Cpath%20d%3D'M13.5070654,23%20L6.4929346,23%20C6.2208347,23%206,22.776%206,22.5%20C6,22.224%206.2208347,22%206.4929346,22%20L13.5070654,22%20C13.7791653,22%2014,22.224%2014,22.5%20C14,22.776%2013.7791653,23%2013.5070654,23'%20id%3D'Fill-12'%20fill%3D'rgba(0,0,0,1)'%2F%3E%3Cpath%20d%3D'M39.546252,18%20L30.453748,18%20C30.2032791,18%2030,17.776%2030,17.5%20C30,17.224%2030.2032791,17%2030.453748,17%20L39.546252,17%20C39.7967209,17%2040,17.224%2040,17.5%20C40,17.776%2039.7967209,18%2039.546252,18'%20id%3D'Fill-14'%20fill%3D'rgba(0,0,0,1)'%2F%3E%3Cpath%20d%3D'M40.4863014,23%20L33.5136986,23%20C33.230137,23%2033,22.776%2033,22.5%20C33,22.224%2033.230137,22%2033.5136986,22%20L40.4863014,22%20C40.769863,22%2041,22.224%2041,22.5%20C41,22.776%2040.769863,23%2040.4863014,23'%20id%3D'Fill-16'%20fill%3D'rgba(0,0,0,1)'%2F%3E%3Cpath%20d%3D'M37.5211951,5%20L28.4788049,5%20C28.2145046,5%2028,4.776%2028,4.5%20C28,4.224%2028.2145046,4%2028.4788049,4%20L37.5211951,4%20C37.7854954,4%2038,4.224%2038,4.5%20C38,4.776%2037.7854954,5%2037.5211951,5'%20id%3D'Fill-18'%20fill%3D'rgba(0,0,0,1)'%2F%3E%3Cpath%20d%3D'M40.5477841,12%20L27.4522159,12%20C27.2025927,12%2027,11.776%2027,11.5%20C27,11.224%2027.2025927,11%2027.4522159,11%20L40.5477841,11%20C40.7974073,11%2041,11.224%2041,11.5%20C41,11.776%2040.7974073,12%2040.5477841,12'%20id%3D'Fill-20'%20fill%3D'rgba(0,0,0,1)'%2F%3E%3Cpath%20d%3D'M15.052455,28%20C14.8013529,28%2014.5975599,27.7990774%2014.5975599,27.551512%20C14.5975599,27.3039467%2014.8013529,27.1030241%2015.052455,27.1030241%20L43.038655,27.1030241%20L43.0896032,0.89697591%20L3.90979023,0.89697591%20L3.90979023,27.1030241%20L14.635664,27.1030241%20C14.8867661,27.1030241%2015.0905592,27.3039467%2015.0905592,27.551512%20C15.0905592,27.7990774%2014.8867661,28%2014.635664,28%20L3.45489512,28%20C3.20379301,28%203,27.7990774%203,27.551512%20L3,0.448487955%20C3,0.200922604%203.20379301,0%203.45489512,0%20L43.5451049,0%20C43.6658037,0%2043.7822569,0.0472407312%2043.8671706,0.131556467%20C43.9526909,0.216470186%2044,0.330685119%2044,0.449683923%20L43.9478387,27.55211%20C43.9472322,27.7996754%2043.7440457,28%2043.4929436,28%20L15.052455,28%20Z'%20id%3D'Fill-22'%20fill%3D'rgba(0,0,0,1)'%2F%3E%3Cpath%20d%3D'M24,27.5604339%20L24,0.439566135%20C24,0.196925629%2024.224,0%2024.5,0%20C24.776,0%2025,0.196925629%2025,0.439566135%20L25,27.5604339%20C25,27.8030744%2024.776,28%2024.5,28%20C24.224,28%2024,27.8030744%2024,27.5604339%20Z'%20id%3D'Fill-24'%20fill%3D'rgba(0,0,0,1)'%2F%3E%3C%2Fg%3E%3C%2Fg%3E%3C%2Fg%3E%3C%2Fsvg%3E)
Integritetspolicy
Enligt Dataskyddsförordningen ska företag informera de registrerade om omständigheterna för er behandling av personuppgifter.
Integritetskyddspolicyn är hjärtat i er efterlevnad och innehåller information om er behandling av personuppgifter samt vidtagna skyddsåtgärder. Policyn gör att ni uppfyller Artikel 30 i Dataskyddsförordningen.
Arbetet initieras av en kartläggning av era personuppgifter, ändamål, kontroll av laglig grund, lagringsplatser, era skyddåtgärder samt leverantörer m.m. Det och annan information sammanställs i en integritetspolicy som ni gör tillgänglig för re registrerade innan de lämnar ut sina uppgifter, eftersom de registrerade har rätt att få information om omständigheterna för er personuppgiftshantering.
Personuppgifts-
biträdesavtal
Enligt Dataskyddsförordningen ska företag granska och säkra säkerheten hos leverantörer och skriva avtal som säkerställer ett adekvat skydd samt bifoga instruktioner till personuppgiftsbiträdet.
Vid upprättandet av PuB-avtal med leverantörer initieras av en kartläggning av era leverantörer, vilka personuppgifter som förmedlas, era skyddskrav samt instruktioner till leverantören som denne ska följa för att er integritetspolicy ska upprätthållas öven när uppgifter överförs till underleverantörer.
Ni kan också få stöd i att tolka biträdesavtal. dess instruktioner och hur ni ska uppfylla kraven i dem.
'%3E%3Cg%20id%3D'Group-2'%20transform%3D'translate(1301.000000,%201020.000000)'%3E%3Ccircle%20id%3D'Oval'%20stroke%3D'%233c3c3c'%20cx%3D'7.5'%20cy%3D'4.5'%20r%3D'3.5'%2F%3E%3Cpath%20d%3D'M-3.55271368e-13,14.030126%20L-3.55271368e-13,20.6885114%20C0.666666667,21.9277591%201.66666667,22.547383%203,22.547383%20C3,23.4768188%203,24.0964426%203,24.4062545%20L3,34.0342389%20C3.00007378,35.1842664%203.93235527,36.1165479%205.08238278,36.1165479%20C5.6083149,36.1165479%206.11476644,35.9175337%206.5,35.5594838%20C6.5,35.5594838%206.5,35.5594838%206.5,35.5594838%20C6.5,34.3747284%206.5,31.4909839%206.5,26.9082504%20C6.4999705,26.2988508%206.99398642,25.8048349%207.60338594,25.8048349%20C7.95896405,25.8048349%208.29275175,25.9761902%208.5,26.2651261%20C8.5,26.2651261%208.5,26.2651261%208.5,26.2651261%20C8.5,27.1035753%208.5,29.7068875%208.5,34.0750624%20C8.49994496,35.3317655%209.51870404,36.3505245%2010.7754071,36.3505245%20C11.4380272,36.3505245%2012.0677328,36.0616896%2012.5,35.5594838%20C12.5,35.5594838%2012.5,35.5594838%2012.5,35.5594838%20C12.5,34.0104242%2012.5,26.8847499%2012.5,14.182461%20L16.5,16.5060504%20C17.1666667,16.8158624%2017.8333333,16.8158624%2018.5,16.5060504%20C19.1666667,16.1962385%2020,15.7315206%2021,15.1118968%20L23.4178279,13.5067427%20C24.1814359,12.9998747%2024.3894916,11.9699356%2023.8825694,11.2063636%20C23.575051,10.7431517%2023.0559971,10.4647179%2022.5,10.4647179%20C22.5,10.4647179%2022.5,10.4647179%2022.5,10.4647179%20C22.2459918,10.4647179%2021.8952034,10.5546689%2021.4476347,10.734571%20C20.8066668,10.9922104%2020.1624688,11.24174%2019.515195,11.4830997%20L17.2611864,12.3235894%20L17.2611864,12.3235894%20L13.5,10.4647179%20C13.1666667,10.154906%2012.5,10%2011.5,10%20C9.06884551,10%206.63769103,10%204.20653654,10%20C3.10966955,10%202.05343064,10.4150575%201.25,11.1617947%20C0.452869421,11.9026764%20-3.55848731e-13,12.94186%20-3.55271368e-13,14.030126%20Z'%20id%3D'Path-4'%20stroke%3D'%233c3c3c'%2F%3E%3Cpath%20d%3D'M16,11.5%20L16,3%20C16,1.34314575%2017.3431458,2.08071603e-15%2019,1.77635684e-15%20L55.5,1.77635684e-15%20C57.1568542,1.47199765e-15%2058.5,1.34314575%2058.5,3%20L58.5,24%20C58.5,25.6568542%2057.1568542,27%2055.5,27%20L19,27%20C17.3431458,27%2016,25.6568542%2016,24%20L16,16.5%20L16,16.5'%20id%3D'Path-5'%20stroke%3D'%233c3c3c'%2F%3E%3Cpath%20d%3D'M32.397,9.356%20C33.5636725,9.356%2034.4596635,9.63366389%2035.085,10.189%20C35.7103365,10.7443361%2036.023,11.5819944%2036.023,12.702%20L36.023,17%20L33.979,17%20L33.979,16.062%20C33.5683313,16.7620035%2032.8030056,17.112%2031.683,17.112%20C31.1043304,17.112%2030.6026688,17.014001%2030.178,16.818%20C29.7533312,16.621999%2029.4290011,16.3513351%2029.205,16.006%20C28.9809989,15.6606649%2028.869,15.2686689%2028.869,14.83%20C28.869,14.1299965%2029.132664,13.5793353%2029.66,13.178%20C30.187336,12.7766647%2031.0016612,12.576%2032.103,12.576%20L33.839,12.576%20C33.839,12.0999976%2033.6943348,11.733668%2033.405,11.477%20C33.1156652,11.220332%2032.6816696,11.092%2032.103,11.092%20C31.7016647,11.092%2031.3073353,11.1549994%2030.92,11.281%20C30.5326647,11.4070006%2030.203668,11.5773323%2029.933,11.792%20L29.149,10.266%20C29.5596687,9.97666522%2030.0519971,9.75266746%2030.626,9.594%20C31.2000029,9.43533254%2031.7903303,9.356%2032.397,9.356%20Z%20M32.229,15.642%20C32.6023352,15.642%2032.9336652,15.5556675%2033.223,15.383%20C33.5123348,15.2103325%2033.7176661,14.9560017%2033.839,14.62%20L33.839,13.85%20L32.341,13.85%20C31.4449955,13.85%2030.997,14.1439971%2030.997,14.732%20C30.997,15.0120014%2031.1066656,15.2336659%2031.326,15.397%20C31.5453344,15.5603342%2031.8463314,15.642%2032.229,15.642%20Z%20M42.449,9.356%20C43.1490035,9.356%2043.7859971,9.51699839%2044.36,9.839%20C44.9340029,10.1610016%2045.3843317,10.6136638%2045.711,11.197%20C46.0376683,11.7803362%2046.201,12.4593295%2046.201,13.234%20C46.201,14.0086705%2046.0376683,14.6876637%2045.711,15.271%20C45.3843317,15.8543362%2044.9340029,16.3069984%2044.36,16.629%20C43.7859971,16.9510016%2043.1490035,17.112%2042.449,17.112%20C41.4129948,17.112%2040.624336,16.7853366%2040.083,16.132%20L40.083,17%20L37.997,17%20L37.997,6.612%20L40.181,6.612%20L40.181,10.266%20C40.7316694,9.6593303%2041.4876619,9.356%2042.449,9.356%20Z%20M42.071,15.32%20C42.6310028,15.32%2043.0906649,15.1310019%2043.45,14.753%20C43.8093351,14.3749981%2043.989,13.8686698%2043.989,13.234%20C43.989,12.5993302%2043.8093351,12.0930019%2043.45,11.715%20C43.0906649,11.3369981%2042.6310028,11.148%2042.071,11.148%20C41.5109972,11.148%2041.0513351,11.3369981%2040.692,11.715%20C40.3326649,12.0930019%2040.153,12.5993302%2040.153,13.234%20C40.153,13.8686698%2040.3326649,14.3749981%2040.692,14.753%20C41.0513351,15.1310019%2041.5109972,15.32%2042.071,15.32%20Z'%20id%3D'ab'%20fill%3D'%233c3c3c'%2F%3E%3C%2Fg%3E%3C%2Fg%3E%3C%2Fg%3E%3C%2Fsvg%3E)
Säkerställande av "tekniska säkerhetsåtgärder"
Enligt Dataskyddsförordningen ska företag vidta lämpliga "tekniska säkerhetsåtgärder".
Målet är personuppgifter alltid ska vara skyddade på ett adekvat sätt.
"Säkerställande av tekniska säkerhetsåtgärder" innebär att data, lagringsmedia och accessenheter är försedda med säkerhetsåtgärder.
Exempel på ramverk som används för grund för detta är ISO 27002
Revison av GDPR-efterlevand
Behöver ni en genomlysning av er nuvarande GDPR-efterlevnad?
Det har hänt mycket sedan förordningens ikraftträdande 2018 och många som gjorde ett GDPR-arbete då vilket inebär att det vara bra att få det arbetet granskat genom en extern revision.
GDPR Rådgivning
Har ni frågor gällande GDPR?
Du som företagare kan ställas inför komplexa problem i och med er efterlevnad av dataskyddsförordningen.
Fyll i kontaktformuläret nedan om du vill få råd och stöd.
GDPR gap-analys
Vill ni veta om ni behöver åtgärda något för att efterleva GDPR?
En gap-analys över er GDPR-efterlevnad ger er svar på vad ni behöver åtgärda för att efterleva lagen.
I gap-rapporten finns information om vilka åtgärder ni behöver vidta, dess komplexitet och förslag på prioritering.
Ni kan också få stöd i att få åtgärderna genomförda.
Kontaktformulär
Skriv in dina kontaktuppgifter och berätta vad du behöver hjälp med så får du svar
Interna GDPR dokument
Enligt Dataskyddsförordningen ska företag vidta organisatoriska skyddsåtgärder och kunna uppvisa dokument som visar hur de efterlever förordningen. Dokumenten innebär i praktiken policy- och rutindokument.
Exempelvis:
-
Personuppgiftsbehandlingspolicy med information om hur ni tillmötesgår de grundläggande principerna för att få behandla personuppgifter.
- Personuppgiftsincidentpolicy och rutiner för att hantera säkerhetshändelser.
- Rutindokument för att hantera de registrerades rättigheter, t.ex. hantera registerutdrag, rutiner för dokumentera samtycken eller rutiner för hur den registrerades uppgifter ska raderas.
Säkerställande av "organisatoriska säkerhetsåtgärder"
IMY rekommenderar att företag upprättar ett ledningsystem för informationssäkerhet.
Det finnns flera ramverk för informationssäkerhet, ett är ISO 27000 som är en standard för hur företag uppnår informationssäkerhet, ett annat är LIS som står för "ledningssystem för informationssäkerhet" och är från MSB. Jag arbetar utifrån de standarder som passar uppdraget bäst så att ni uppfyller kravet på organisatoriska säkerhetsåtgärder.
Exempel på krav i Dataskyddsförordningen och lösningar för hur ni ska uppnå dessa krav
Krav 1 till 3 är grundläggande och lämpliga att vi börjar med
Klicka på "Kontaktformulär" för att diskutera lösningar
'%3E%3Cg%20id%3D'icon-courses'%20transform%3D'translate(456.000000,%201547.000000)'%3E%3Cg%20id%3D'Group-3'%20transform%3D'translate(0.000000,%204.000000)'%3E%3Cmask%20id%3D'mask-2'%20fill%3D'rgba(255,255,255,1)'%3E%3Cuse%20xlink%3Ahref%3D'%23path-1'%2F%3E%3C%2Fmask%3E%3Cg%20id%3D'Clip-2'%2F%3E%3Cpath%20d%3D'M15.0231111,26.98296%20L0.444148148,26.98296%20C0.198814815,26.98296%20-0.000296296296,26.78136%20-0.000296296296,26.53296%20L-0.000296296296,0.47136%20C-0.000296296296,0.22296%200.198814815,0.02136%200.444148148,0.02136%20L3.28918519,0.02136%20C3.53451852,0.02136%203.73362963,0.22296%203.73362963,0.47136%20C3.73362963,0.72036%203.53451852,0.92136%203.28918519,0.92136%20L0.888592593,0.92136%20L0.888592593,26.08296%20L15.0231111,26.08296%20C15.2684444,26.08296%2015.4675556,26.28456%2015.4675556,26.53296%20C15.4675556,26.78136%2015.2684444,26.98296%2015.0231111,26.98296'%20id%3D'Fill-1'%20fill%3D'rgba(0,0,0,1)'%20mask%3D'url(%23mask-2)'%2F%3E%3C%2Fg%3E%3Cpath%20d%3D'M46.4915254,31%20L32.4561674,31%20C32.204363,31%2032,30.7981129%2032,30.5493591%20C32,30.3006053%2032.204363,30.0987182%2032.4561674,30.0987182%20L46.0365745,30.0987182%20L46.0864488,4.90128182%20L43.1462979,4.90128182%20C42.8944936,4.90128182%2042.6901306,4.69999555%2042.6901306,4.45064091%20C42.6901306,4.20188713%2042.8944936,4%2043.1462979,4%20L46.5438326,4%20C46.664869,4%2046.7816479,4.04806836%2046.8667991,4.13278886%20C46.9525586,4.21750935%2047,4.33227257%2047,4.45184262%20L46.9476928,30.5499599%20C46.9470846,30.7987137%2046.7433298,31%2046.4915254,31'%20id%3D'Fill-4'%20fill%3D'rgba(0,0,0,1)'%2F%3E%3Cpath%20d%3D'M18.5211951,5%20L9.4788049,5%20C9.2145046,5%209,4.776%209,4.5%20C9,4.224%209.2145046,4%209.4788049,4%20L18.5211951,4%20C18.7854954,4%2019,4.224%2019,4.5%20C19,4.776%2018.7854954,5%2018.5211951,5'%20id%3D'Fill-6'%20fill%3D'rgba(0,0,0,1)'%2F%3E%3Cpath%20d%3D'M19.5477452,12%20L6.45225481,12%20C6.20261016,12%206,11.776%206,11.5%20C6,11.224%206.20261016,11%206.45225481,11%20L19.5477452,11%20C19.7973898,11%2020,11.224%2020,11.5%20C20,11.776%2019.7973898,12%2019.5477452,12'%20id%3D'Fill-8'%20fill%3D'rgba(0,0,0,1)'%2F%3E%3Cpath%20d%3D'M15.5581217,18%20L6.44187828,18%20C6.19796147,18%206,17.776%206,17.5%20C6,17.224%206.19796147,17%206.44187828,17%20L15.5581217,17%20C15.8020385,17%2016,17.224%2016,17.5%20C16,17.776%2015.8020385,18%2015.5581217,18'%20id%3D'Fill-10'%20fill%3D'rgba(0,0,0,1)'%2F%3E%3Cpath%20d%3D'M13.5070654,23%20L6.4929346,23%20C6.2208347,23%206,22.776%206,22.5%20C6,22.224%206.2208347,22%206.4929346,22%20L13.5070654,22%20C13.7791653,22%2014,22.224%2014,22.5%20C14,22.776%2013.7791653,23%2013.5070654,23'%20id%3D'Fill-12'%20fill%3D'rgba(0,0,0,1)'%2F%3E%3Cpath%20d%3D'M39.546252,18%20L30.453748,18%20C30.2032791,18%2030,17.776%2030,17.5%20C30,17.224%2030.2032791,17%2030.453748,17%20L39.546252,17%20C39.7967209,17%2040,17.224%2040,17.5%20C40,17.776%2039.7967209,18%2039.546252,18'%20id%3D'Fill-14'%20fill%3D'rgba(0,0,0,1)'%2F%3E%3Cpath%20d%3D'M40.4863014,23%20L33.5136986,23%20C33.230137,23%2033,22.776%2033,22.5%20C33,22.224%2033.230137,22%2033.5136986,22%20L40.4863014,22%20C40.769863,22%2041,22.224%2041,22.5%20C41,22.776%2040.769863,23%2040.4863014,23'%20id%3D'Fill-16'%20fill%3D'rgba(0,0,0,1)'%2F%3E%3Cpath%20d%3D'M37.5211951,5%20L28.4788049,5%20C28.2145046,5%2028,4.776%2028,4.5%20C28,4.224%2028.2145046,4%2028.4788049,4%20L37.5211951,4%20C37.7854954,4%2038,4.224%2038,4.5%20C38,4.776%2037.7854954,5%2037.5211951,5'%20id%3D'Fill-18'%20fill%3D'rgba(0,0,0,1)'%2F%3E%3Cpath%20d%3D'M40.5477841,12%20L27.4522159,12%20C27.2025927,12%2027,11.776%2027,11.5%20C27,11.224%2027.2025927,11%2027.4522159,11%20L40.5477841,11%20C40.7974073,11%2041,11.224%2041,11.5%20C41,11.776%2040.7974073,12%2040.5477841,12'%20id%3D'Fill-20'%20fill%3D'rgba(0,0,0,1)'%2F%3E%3Cpath%20d%3D'M15.052455,28%20C14.8013529,28%2014.5975599,27.7990774%2014.5975599,27.551512%20C14.5975599,27.3039467%2014.8013529,27.1030241%2015.052455,27.1030241%20L43.038655,27.1030241%20L43.0896032,0.89697591%20L3.90979023,0.89697591%20L3.90979023,27.1030241%20L14.635664,27.1030241%20C14.8867661,27.1030241%2015.0905592,27.3039467%2015.0905592,27.551512%20C15.0905592,27.7990774%2014.8867661,28%2014.635664,28%20L3.45489512,28%20C3.20379301,28%203,27.7990774%203,27.551512%20L3,0.448487955%20C3,0.200922604%203.20379301,0%203.45489512,0%20L43.5451049,0%20C43.6658037,0%2043.7822569,0.0472407312%2043.8671706,0.131556467%20C43.9526909,0.216470186%2044,0.330685119%2044,0.449683923%20L43.9478387,27.55211%20C43.9472322,27.7996754%2043.7440457,28%2043.4929436,28%20L15.052455,28%20Z'%20id%3D'Fill-22'%20fill%3D'rgba(0,0,0,1)'%2F%3E%3Cpath%20d%3D'M24,27.5604339%20L24,0.439566135%20C24,0.196925629%2024.224,0%2024.5,0%20C24.776,0%2025,0.196925629%2025,0.439566135%20L25,27.5604339%20C25,27.8030744%2024.776,28%2024.5,28%20C24.224,28%2024,27.8030744%2024,27.5604339%20Z'%20id%3D'Fill-24'%20fill%3D'rgba(0,0,0,1)'%2F%3E%3C%2Fg%3E%3C%2Fg%3E%3C%2Fg%3E%3C%2Fsvg%3E)
01
Alla organisationer ska dokumentera sina personuppgiftsbehandlingar i ett behandlingsregister, även kallad registerförteckning eller Artikel 30 register.
- Genom att upprätta en registerförteckning över organisationens alla behandlingar av personuppgifter får ni en helhetsbild över alla de personuppgifter ni ansvarar för.
- Denna del är därför en av de grundläggande dokumenten i er organisation och något som ska göras först.
- Registerförteckningen innehåller bland annat: information om alla era behandlingar, dess ändamål, laglig grund och när uppgifterna tas bort.
- Förteckningen skall kunna uppvisas på begäran av tillsyndsmyndigheten.
- Att ha dokumenterade lagliga grunder för att få behandla personuppgifter är det mest grundläggande i att följa GDPR efter som den gör era behandlingar lagliga.
04
Det ska finnas rutiner för hur företaget tillmötesgår de registrerades rättigheter
- Enligt GDPR ska man ha vidtagit organisatonisatoriska skyddsåtgärder i form av dokumenterade rutiner för hur detta görs.
Till exempel:
-Rätten att bli glömd
-Rätt att få information
-Rätt att korrekta uppgifter behandlas
07
Organisationen ansvar för att förmedla kunskap till sina anställda om hur de skyddar personuppgifter från att kränkas, t.ex. ska de veta hur de skyddar er IT-miljö från personuppgiftsincidenter och cybersäkerhetshot.
- Enligt GDPR ska organisationer utbilda sina anställda så att de har den kunskap de behöver för att organisationen ska kunna uppfylla krav i GDPR samt att hantera personuppgifter på ett säkert sätt.
- De anställa ska också ha grundläggande kunskap om hur de unviker att själva bli en del av ett antagonistiskt angrepp (virus, phising-mail, m.m).
- Detta uppfylls genom utbildning och en intern IT/informationssäkerhetspolicy som hjälper anställda att inte begå onödiga misstag som gör att säkerheten äventyras.
10
En IT-säkerhetspolicy för anställda och IT-avdelning hjälper er att bibehålla en adekvat teknisk skyddsnivå.
- Ledningen är ytterst ansvarig för att förordningen efterlevs och att personuppgifter hanteras på ett säkert sätt.
- Med en IT-säkerhetspolicy som visar vilka IT-säkerhetsåtgärder organisationen har vidtagit uppfylls kravet på att ha vidtagit "adekvata tekniska skyddsåtgärder", och det bör varje organisation ha.
Exempel:
- två faktor autenticiering
- Krypterad data
- Behörighetsstyrning
- Antivirus
- Brandvägg
- EDR (End Point Detection)
- Privacy by Design/by Default
13
Alla personuppgiftsbehandlingar ska stödjas på en dokumenterad rättslig grund, ha ett ändamål och en gallringstid för när de raderas.
- Genom att dokumentera detta i en integritetspolicy för kunder och i er registerförtecking för era interna behandlingar uppfyller ni kravet på dokumentation, laglighet, kunskap och öppenhet.
02
Omständigheterna kring er behandling av kunders/anställdas personuppgifter ska dokumenteras i integritetspolicies
- Med en integritetspolicy tillgänglig på er webbplats/internwebb uppfyller ni kravet på transparens gentemot kunder och anställda.
- Integritetspolicyn innehåller information om er som personuppgiftsansvarig, vilka personuppgifter ni behandlar, att/hur de skyddas, hur länge de lagras, hur man kommer i kontakt med er som personuppgiftsansvarig och vilka rättigheter den registrerade har.
05
Organisationer ska kunna visa vilka åtgärder som vidtagits för att leva upp till de grundläggande principer i GDPR.
- Principerna kommer du till genom att klicka här.
- Principerna kan appliceras på flera olika delar av organisationen och hur respektive avdelning/enhet arbetear kan skilja sig åt.
- En övergripande riktlinje kan vara bra att bryta ned till avdelnings- eller enhetsspecifika instruktioner.
08
Personuppgiftsincidenter ska alltid dokumenteras och i vissa fall rapporteras till Integritetskyddsmyndigheten (IMY)
- Anställda ska förses med den den kunskap som behövs för att kunna förhindra och upptäcka en personuppgiftsincident.
- Utbildning och rutiner ska finnas för hur de ska agera när en sådan upptäcks.
- En personuppgiftsincident ska alltid dokumenteras och i vissa fall rapporteras till tillsynsmyndigheten.
- Rutiner för att hantera detta är bra att ha på plats eftersom man bara har 72h på sig.
11
Organisationer är skydliga att ha kunskap om alla personuppgifter de behandlar. Dessa ska kartläggas, analyseras och dokumenteras med beaktande av dess känslighet och behandlingens risk att kränka de registrerades rätt till integritet.
- Genom att ha kunskap om detta kan man avgöra vilket skyddsvärde som personuppgifterna har, och om behandlingen innebär särskild risk som gör att ni behöver vidta specifika åtgärder.
- Detta kan dokumenteras i en del av Registerförteckning
12
De registrerade har rätt till information om hur ni behandlar deras personuppgifter, innan ni gör det. Informationen ska ges på ett tydligt och lättförståeligt sätt.
- GDPR ställer krav på de registrerade ska få att information om sina rättigheter samt att informationen ska vara tydlig och lättillgänglig.
- Ett lämligt dokument är detta är en Integritetspolicy på er hemsida.
14
Behandlar ni stora mängder personuppgifter eller känsliga personuppgifter kan det vara nödvändigt att ha ett dataskyddsombud
- Ett dataskyddsombåd ska hjälpa organisationen att efterleva GDPR. Ombudet ska inte vara operativ och stå utan påverkan från organisationen.
- Det kan vara lämpligt att använda sig av ett extern Dataskyddsombåd för att få råd och ledning i det operativa arbetet att efterleva GDPR.
03
Det ska finnas PuB-avtal med leverantörer som säkerställer att de följer GDPR och att de hanterar personuppgifter enligt era instruktioner.
- Upprättar ni juridiska avtal med era leverantörer (personuppgiftsbiträden) villkorar ni att uppgifterna står under adekvat skydd även när de lämnar er organisation.
- Observera att ni måste bedöma om leverantören om leverantörens skyddsåtgärder är adekvata för de personuppgifter de behandlar.
- Det är mycket viktigt att instruktionerna till biträdet avspelgar era policies och registerförteckningen.
06
Efterlevnad av GDPR är ett kontinuerligt arbete och behöver en aktiv förvaltning eller regelbunden översyn.
- Att efterleva förordningen är ingen engångsinstats; leverantörer byts ut, nya personuppgifter tillkommer, behandlingar tillkommer, ändamål ändras, nya programvararor införskaffas, personal byts ut, anställdas kunskap behöver förnyas och rutiner behöver anpassas till de nya omständigheterna.
- Er dokumentation behöver vara "up-to-date" och motsvara aktuella förhållanden.
- En kontiunitetsplan bör upprättas för att säkerställa efterlevnad över tid.
09
Exempel på dokument som visar Integritetskyddsmyndigheten (IMY) att ni efterlever GDRP och som hjälper er att få struktur på ert säkerhetsarbete
- Integritetsskyddsmyndigheten ställer höga krav på att organisationer ska ha inneha dokument som visar att och hur organisatioenn uppfyller krav i Dataskyddsförordningen.
Exempelvis:
1. Registerförteckning
2. Integritetspolicyies
3. Rutiner för att hantera de registrerades rättigheter
4. Beskrivning av hur ni uppfyller de grundläggande principerna för att få behandla personuppgifter enligt GDPR
5. VIlka skyddsåtgärder ni vidtagit för att skydda personupgifter.
6. Bakgrund till de bedömningar ni gjort som format ert efterlevnade av GDRP
7. Vid behov: Konsekvensbedöningar av nya behandlingar av personuppgifter.
8. Använder ni den rättsliga grunden "legitmerat intresse" behöver intresseavvägningen dokumenteras
9. En kontinuitetsplan för en långsiktig efterlevnad
10. Rutiner för att hantera en personuppgiftsincident
11. Rutiner som är anpassade för specifika avdelningar och deras arbetssätt
12. Rutiner för att hur den registrerades rätt till information ska uppfyllas
13. IT-säkerhetspolicy
14. informationssäkerhetspolicy
15. En rutin för inköp som inkluderar säkerhetsaspekter utifrån GDPR
16. En kontinuitetsplan för efterlevnad över tid, eller ett externt Dataskyddsombud.
17. Rutiner för att hantera personuppgiftsincidenter
15
Organisationer behöver alltid säkerställa att deras behandling av personuppgifter sker enligt lagen och att uppgifterna inte utsätts för risk.
- Det finns flera analyser som ser på olika delar av behandlingen.
- Jag börjar alltid med en övergripande Dataskyddsanalys som ger mig det jag behöver för att veta om behandlingen kan innebära några risker, vilket kan leda til ytterligare analyser så som DPIA, PIA, TIA.
- Resultatet av analyserna dokumenteras och bedömingen är bra att kunna visa vid kontroll från IMY.
- Analyser kan ni få hjälp med genom att fylla i kontaktforumläret
Dataskyddsombud samt
Risk- och konsekvensanalys
Externt Dataskyddsombud
Med ett extern dataskyddsombud får ni hjälp med dataskyddsfrågor, integritetsfrågor och stöd att följa dataskyddsförordningen till en låg kostnad och regelbunden översyn och rådgivning. Dataskyddsombudet registreras hos Integritetsskyddsmyndigheten (f.d Datainspektionen).
Enligt GDPR art. 39 ska dataskyddsombud hjälpa med följande:
- Informera och ge råd till organisationen och anställda om deras skyldigheter.
- Övervaka efterlevnaden av dataskyddsförordningen och organisationens strategi för skydd av personuppgifter, information till och utbildning av personal.
- På begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet av den enligt artikel 35 i dataskyddsförordningen
- Samarbeta med tillsynsmyndigheten.
- Fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inbegripet det förhandssamråd som avses i artikel 36 i dataskyddsförordningen, och vid behov samråda i alla andra frågor.
Risk- och konsekvensanalys av personuppgiftsbehandlingar
Personuppgiftsbehandlingar som kan utgöra en risk för den registrerades integritetet ska enligt Integritetsskyddsmyndigheten föregås av en risk- och konsekvensanlys, också kallad DPIA (Data Process Inpact Assessment). Hanterar ni till exempel stora mängder uppgifter som enskilt eller i sin sammanstättning kan innebära allvarliga konsekvenser för den enskilde skall behandlingen dokumenteras och åtgärder skall sättas in för att minimera risken.
Genomförda GDPR-uppdrag
