Nedan är ett förslag till hur man kan gå till väga för att komma igång med GDPR. För fullständig information om GDPR och de kravs som ställs på er som personuppgiftsansvariga hänvisar vi till Datainspektionen.
1. Inventera er hantering av personuppgifter
Var och hur lagrar ni personuppgifter? Börja med att identifiera dessa platser. Platser som kan innehålla personuppgifter kan vara:
- TimeWave (kunder, anställda, ärendehantering m.m.)
- E-post
- Excelark
- Worddokument
- Lokalt på era datorer
- Uppladdade i molnet, t.ex. i DropBox
2. Minimera antalet platser där personuppgifter hanteras
Ju färre platser där personuppgifter hanteras desto lättare är det att erhålla en god kontroll över hanteringen av personuppgifter. En god strategi för att underlätta arbetet initialt och framöver kan sålunda vara att ha så få register, platser, på som möjligt där personuppgifter hanteras.
3. Rensa befintliga register
Passa på att gå igenom dom register, platser, där personuppgifter fortsatt skall hanteras och rensa. Tänk på att enligt GDPR får man inte spara personuppgifter bara för att dom kan vara ”bra att ha”. Har ni uppgifter lagrade som vilar på en tveksam rättslig grund? Radera uppgifterna! Se till att ni kommer igång med GDPR på bästa sätt genom att inte ha en massa skräp med i ”bagaget”.
4. Analysera och dokumentera personuppgiftshanteringen
Dokumentera var i företaget som ni hanterar personuppgifter och identifiera var uppgifterna lagras, vilka som har tillgång till dem och om det föreligger några risker för uppgifterna. Genomgången är ett ganska omfattande arbete då ni för de olika typer av personuppgifter, register, ni har måste kunna besvara bl.a. nedan frågor.
- Syfte, vad används uppgifterna till?
- Med vilken rättslig grund hanteras uppgifterna?
- Hur tillgodoser ni personernas rättigheter, t.ex. rätt till information och radering?
- Vem internt är ansvarig för aktuell hantering?
- Vilken typ av personuppgifter hanteras?
- Hur har data samlats in?
- Var lagras data?
- Om till vem kan uppgifterna lämnas ut?
- Om rättslig grund är samtycke, hur har detta erhållits och dokumenteras det?
Förslag på hur ett underlag för registerinventering och underhåll kan se ut här »
5. Intern kommunikation
För varje typ av register, lagring, skapa en tydlig lathund som tydligt kommunicera vilka uppgifter som får hanteras och övrigt som är viktigt rörande hanteringen av aktuella personuppgifter. Tillse att denna information är tydligt kommunicerad internt.
6. Begränsa åtkomst till personuppgifter
Utifrån inventeringen ovan arbeta med att begränsat tillgången till personuppgifter så att enbart de som är i behov av att komma åt dem kan göra detta.
I TimeWave kan detta t.ex. ske genom Behörigheter. Har ni t.ex. en extern redovisningskonsult? Tillse att denne har en behörig som t.ex. enbart medger tillgång till reskontra och inte till kundregister.
7. Säkerhet
Se över era säkerhetsrutiner samt de IT-system som ni arbetar i. Bland annat bör ni:
- Säkerställa goda rutiner för lösenord.
- Använda kryptering vid kommunikation över internet (https).
- Kontrollera att logg finns för uppföljning av användare.
- Säkerställa rutin för att bekräfta att den person som begär uppgifter är den som den utger sig för att vara. Hur hanterar ni detta över telefon?
- Kunder på kontoret, kan dom se era dataskärmar? Skall dessa insynskyddas?
- Personliga bärbara datorer, får dessa innehålla personuppgifter? Skall hårddiskarna vara krypterade? Skall datorerna låsas in säkerhetsskåp vid arbetsdagens slut?
8. Upprätta rutiner för hantering av personuppgiftsincidenter
Alla händelser där ni blir utsatta för dataintrång eller på något annat sätt förlorar kontrollen över personuppgifter som ni behandlar måste dokumenteras. Om händelsen medför hög risk för den enskildes fri- och rättigheter så måste detta anmälas till Datainspektionen inom 72 timmar. T.ex. om incidenten kan leda till att personer utsätts för allvarliga risker såsom diskriminering, id-stölder, bedrägerier eller finansiella stölder så skall ska de registrerade informeras om händelsen så att de kan vidta nödvändiga åtgärder.
Tillse att ni har rutiner för att dokumentera incidenter samt att vid behov rapportera dessa till Datainspektionen.