Varför alla pratar om GDPR, del 3: Hur kan vi förbereda oss för GDPR?

Share this post:

GDPR, General Data Protection Regulation, är en ny europeisk förordning för skydd av personuppgifter som har blivit ett av de mest omtalade ämnena under 2016. I den här delen av artikelserien kommer jag gå in lite på vad man faktiskt kan göra för att förbereda sig för GDPR.

Arbetet med GDPR måste påbörjas så snart som möjligt eftersom det kommer att innebära en rad förändringar inom i stort sett alla organisationer, statliga såväl som privata. Oavsett organisation eller typ av verksamhet finns det ett antal grundläggande saker man kan göra för att påbörja arbetet med GDPR.

Skaffa förståelse: Hur samverkar GDPR med andra lagar och regler?
Det är viktigt att förstå vad GDPR innebär och hur andra lagar och regler kommer behöva utövas tillsammans med GDPR i er organisation. Branscher som bank och finans, försäkring, kommunal och statlig verksamhet har alla olika regelverk som de behöver efterleva utöver GDPR. Därför måste organisationen dels skaffa en bild av samtliga krav som finns och dels förstå hur en aktivitet i GDPR som exempelvis ”rätten att bli glömd” ska ställas mot arkiveringslagstiftning, PSD2 eller annat regelverk.

Tillsätt rätt resurser: Vilka personer behöver ni ha inblandade?
För att påbörja arbetet med GDPR bör en arbetsgrupp utses med representanter från olika relevanta avdelningar i er organisation såsom IT eller systemägare, juridiska avdelningen, affärsområdesansvariga, projektledare etc. Omfattas ni av kravet på dataskyddsombud måste även en sån person utses och som bör ha en central roll i arbetsgruppen för att kunna genomföra sitt arbete.

Ta kontroll över er data: Var och hur lagrar ni information?
Personuppgifter får en bredare definition i GDPR och därför blir det viktigt att göra en inventering av hur, var, varför och hur länge personuppgifter samlas in. Känsliga uppgifter som exempelvis sexuell läggning eller religiös åskådning och information som rör barn har dessutom särskilt skyddsvärde. Lagring av personuppgifter gäller oavsett lagringstyp, strukturerat såväl som ostrukturerat, då ”Missbruksregeln” inte längre gäller i och med GDPR. Att hitta och klassificera informationen är inte lätt och Forresters senaste undersökning visade att 62% av säkerhetsansvariga idag inte vet var de har känsliga personuppgifter i sin organisation.

Utöver typen av personuppgifter kommer skälet till hur och varför uppgifterna hanteras.
Är er organisation i huvudsak en ”Data processer” eller en ”Data collector”? Hur delar ni personuppgifter med andra organisationer? Kommer informationen överföras till andra länder? Dessa är sådana frågor som ni kommer behöva besvara samtidigt som ni gör inventeringen

Definiera processer: Hur hanterar vi dagligen våra GDPR-skyldigheter och arbetsflöden?

GDPR kommer som bekant att medföra en rad nya rättigheter för individer och skyldigheter för organisationer; såsom rätten till information, rätten att bli glömd etc. Därför måste organisationer upprätta arbetsflöden så att det finns en tydlig mall för alla de processer som GDPR kommer innebära. Det här är utmanande eftersom det innebär en översyn över alla nuvarande processer som spänner från affärsaktiviteter till internt arbete och säkerhet för att se till att de uppfyller kraven för GDPR. Processerna måste också inkludera alla berörda system, människor och aktiviteter som behövs för att kunna genomföra en viss uppgift. Alltifrån dataintrång till en förfrågan om vilken information som finns om en viss person måste kunna hanteras för att klara av det dagliga arbetet.

Se över IT och säkerhet: Hur stödjer IT-system och säkerhetslösningar era GDPR-skyldigheter?
För att underlätta alla processer behöver organisationen titta på vilka system de har för att stötta hanteringen av GDPR-aktiviteter. Det omfattar verktyg för arbetsflöden, klassificering och hantering av personuppgifter, aktivitetshantering, backup och arkivering samt säkerhet och monitorering. Säkerhet har ett uttalat fokus genom kravet på ”Security of processing” (Artikel 32) och intrångsrapportering inom 72 timmar (Artikel 33) från ett upptäckt intrång. Organisationer måste därför se över vilka säkerhetsrutiner och färdigheter de har för att upptäcka säkerhetsincidenter.

Träning och utbildning av personalen: Hur ser vi till att nya rutiner och aktiviteter sätter sig?

Parallellt med alla aktiviteter så måste medarbetarna i organisationen tränas och utbildas i både GDPR som område men också i de nya rutiner som det kommer innebära. Detta är en aktivitet som måste ske från allra första början för att skapa förståelse kring GDPR och sedan fortsätta under tiden arbetet pågår. Börja med personer på verkställande nivå samt IT då det är dessa två delar av organisationen som kommer påverkas först och fortsätt sedan med områdesansvariga och annan personal.

Sammanfattningsvis kommer GDPR innebära ett stort arbete för många men också en chans att förbättra processer och rutiner, få översikt över personuppgifter och förbättra säkerhetsarbetet. Det kommer krävas ett tydligt ledarskap och uppdelning av arbetsuppgifter över organisationens olika områden och en tät dialog med jurister och Datainspektionen. Även om det här kan tyckas stort, komplext och omöjligt så är det viktiga att påbörja arbetet nu och dela upp det i hanterbara delprojekt så att just er organisation börjar resan.

Det här är sista delen i min bloggserie om GDPR och jag hoppas att den gjort det lite tydligare vad GDPR innebär och hur man kan påbörja arbetet.

Läs andra delar av serien ”Varför alla pratar om GDPR”:

• Del 1: Vad är GDPR och varför behövs det?
• Del 2: Vad innebär GDPR?

Nedan har jag samlat en rad länkar om GDPR i stort men också vad IBM gör inom området och hur vi försöker hjälpa våra kunder.

• Datainspektionens sida om dataskyddsförordningen
• IAPP: Global Information Privacy Community – GDPR and Security
• IBM Security – Clear the path to the GDPR
• IBM Security Services – IBM Data Privacy Services
• IBM Analytics – Are you prepared for the GDPR?

/Marcus

GDPR: Nedräkningen har startat
2018 utgör startskottet på en standardisering av datasekretesskrav som påverkar alla som innehar eller använder personuppgifter om EU-ländernas medborgare, både inom och utanför Europa. För att uppfylla GDPR-kraven måste säkerhetsluckor utvärderas och korrigeras redan nu. Är du beredd?