EU:s nya dataskyddsförordning GDPR ställer nya krav på företagen, men det finns sätt att klara av anpassningen smidigt.
När GDPR träder i kraft 25 maj 2018 måste företagen ha anpassat sin verksamhet så att den följer de nya bestämmelserna.
Till att börja med gäller det att undersöka hur företaget hanterar personuppgifterna idag. Hur ser processerna ut och var finns personuppgifter lagrade? Det uppenbara är att undersöka olika kunddatabaser, men personuppgifter kan även finnas i kalkylblad, e-postlistor med mera.
– Att inventera var och hur verksamheten hanterar personuppgifter är själva grunden för hela arbetet med anpassningen till GDPR. När väl det ar avklarat kan man gå vidare och se hur man ska agera om uppgifterna ändå skulle kommer i orätta händer, säger Elena Gilotta, Director of Compliance på Box.
Om personuppgifter skulle läcka ut från ett företag finns ett krav i GDPR att det ska rapporteras in till den övervakande myndigheten, som är Datainspektionen i Sverige, inom 72 timmar från det att incidenten upptäckts. Här måste det finnas rutiner för vem på företaget som ska rapportera in incidenten så att det inte hamnar mellan stolarna.
Central tjänst kan underlätta
En riskanalys är också nödvändig. Organisationen ansvarar nu själv för att utreda vilka integritetsrisker som finns för dem vars personuppgifter verksamheten behandlar. Här behövs en uppdaterad systemdokumentation för att se hur personuppgifterna skyddas i olika system.
De som använder molntjänster kan här ha en stor fördel om de samlar all information i en central tjänst istället för att ha uppgifterna utspridda i mängder av delsystem över hela organisationen. För att få en tillräckligt hög säkerhetsnivå gäller det dock att välja en molntjänst som kan hantera kraven i GDPR.
– Enterprise-molnlösningar har normalt de säkerhets- och integritetsskydd som GDPR kräver för att personuppgifterna ska anses vara lagrade på ett tillräckligt säkert sätt. På Box har vi till exempel valt att inte bara följa globala säkerhetsstandarder för de molnlösningar vi erbjuder utan även att kvalitetsmärka våra tjänster med integritetscertifieringar från oberoende organisationer, säger Elena Gilotta.
Kan inte outsourca ansvaret
Att outsourca ansvaret för att följa GDPR går dock inte, utan molnleverantörerna kan bara fungera som en partner i arbetet.
– Medvetenheten om vad GDPR innebär för företaget och hur det påverkar verksamhetens processer måste finnas internt. Det vi sedan kan hjälpa till med är att erbjuda lösningar som ger företaget kontroll över alla data som innehålla personuppgifter så att de enkelt kan avgöra om de följer GDPR, säger Elena Gilotta.
