Ska man ha panik för GDPR?

GDPR är ett hett samtalsämne, på kafferaster likväl som på ledningsmöten. Och intresset kommer antagligen bara eskalera fram till 25 maj. Eller ska vi kalla det panik istället för intresse? 

Den stora frågan på allas läppar är väl egentligen "Vad är det vi i den egna organisationen måste få gjort till den 25 maj?". Ingen verkar sitta på svaret. Som så ofta får man en massa sökresultat när man googlar, men det är svårt att få konkret guidning. Så vi hade tänkt att dela med oss av vår bild av vad som är viktigast, och hur man bör starta sitt GDPR-arbete.

Det första steget är att få svar på frågan: Var behandlar vi personuppgifter i vår organisation idag? Man behöver helt enkelt skapa ett register över sina personuppgiftsbehandlingar: dokumentera på lämplig nivå vilka personuppgifter som hanteras i den egna organisationens olika datasystem. Ordet ’register’ kan betyda en mängd olika saker, men i sin enklaste form skulle det kunna vara ett Excel-ark, med t ex en rad för varje behandling. Detta register blir sedan grunden för större delen av det fortsatta arbetet med GDPR och man får lista som kan prioriteras och (förhoppningsvis så småningom) bockas av. 

Det enda vi tycker att man behöver ha panik över, nu innan GDPR träder i kraft, är om man inte ens har påbörjat arbetet med detta register. Då är det hög tid att sätta igång!

De efterföljande stegen syftar till att analysera varje behandling ytterligare, och skapa en mer komplett bild över till hur stor del personuppgiftsbehandlingarna uppfyller GDPRs krav. Det här gäller för var och en av behandlingarna: 



  1. Gör en riskbedömning över hur stor risken är för de individer vars uppgifter behandlas. Det finns en del skrivet om hur man gör en sådan riskbedömning, och man kan enkelt hitta exempel på personuppgifter som är extra känsliga (sjukfrånvaro, graviditet, läkarbesök) samt grupper av registrerade som anses extra känsliga (barn, äldre människor, patienter). Dokumentera de åtgärder man bör vidta, och vilka som redan vidtas, för att skydda personuppgifterna.

  2. Fundera på om organisationen har laglig rätt att behandla uppgifterna. Här finns en del skrivet om olika rättsliga grunder för behandling. Många pratar här bara om samtycke som rättslig grund, men det är oftast den grund man får ha om man inte kan hitta någon annan. 

  3. Undersök och klassificera säkerheten för de olika behandlingar man gör. Vilka säkerhetsrisker finns här? Återigen: dokumentera de åtgärder man bör vidta, och vilka som redan vidtas, för att skydda personuppgifterna från olaga intrång eller spridning av information p g a försumlighet.

  4. Kopiering eller flytt av data, till 3:e land. Flyttas personuppgifterna på något sätt som en del av behandlingen? Då bör man tänka till, speciellt om de flyttas utanför EU.

  5. Vem utför behandlingen? Finns det någon annan organisation än den egna som är delaktiga i behandlingen av personuppgiften? Om så är fallet har ni med stor sannolikhet hittat ett Personuppgiftsbiträde. Med personuppgiftsbiträden behöver man avtal för att se till att de har rättslig grund att behandla era/dina uppgifter.

    De här punkterna ger en liten vägledning i att få igång sitt arbete kring GDPR. Har man en översikt över sina behandlingar, samt dokumenterat existerande och planerade åtgärder för var och en av dem, ja då har man tagit ett stort steg framåt i sitt GDPR-arbete. Det finns därefter en hel del ytterligare steg man bör ta för att vara komplett i sitt GDPR-arbete. Man bör t ex se över principer kring uppgiftsminimering och rutiner för incidentrapportering (speciellt viktig om man har underbiträden).

    Oavsett vad man gör när, så är ett första steg ett register över de personuppgifts-behandlingar organisationen gör. Det registret blir sedan grunden för det fortsatta arbetet med GDPR!  


Stefan Åshäll och Judit Kisvari, GDPR-ansvarig Hypergene

Växel

Växel: +46 (0)40-661 10 00