GDPR

Här hittar du information om efterlevnad av Dataskyddsförordningen och Informationssäkerhetsstandarden ISO 27000.

Klicka på länken för att komma får stöd i det strategiska eller operativa arbetet: www.gdprkonsult.nu.

Information om GDPR och vad det innebär för ert företag eller organisation

Vad är GDPR?

Förordningens syfte är att skydda individens rätt till integritet och

kommer från de mänskliga rättigheterna. Dataskyddsförordningen (GDPR) är en förordning som ger individer ett antal friheter och rättigheter som företag behvöer kunna uppfylla.


Vilka företag påverkas av GDPR?

Dataskyddsförordningen (GDPR) omfattar alla företag som har anställda eller privatkunder och kan ge böter för dem som inte följer regler och principer i förordningen. Exempelvis behöver du som företagare använda personuppgifter för att betala ut löner, eller uppgifter till en kund som ni ska skicka en vara till eller tillhandla hålla en tjänst.


Vad är syftet med GDPR?

Dataskyddsförordningen som kom 2018 innebär att företagets VD är ansvarig för att de personuppgifter som företaget använder ska skyddas från risken att den registrerades (anställda/privatkunder) rättigheter kränks, t.ex. ska de skyddas från att "bli förstörda" och "exponeras för obehöriga".


Vad innebär GDPR för dig som företagare?

VD:n är ansvarig och ska kunna uppvisa dokument som visar att, och hur man följer förordningens regler och principer. Dokumentation är därför en viktig del i att efterleva Dataskyddsförordningen, lika viktigt som att det som dokumenterats också följs i praktiken.


Vad är det viktigaste och var ska du börja för att följa GDPR?

Organisationer ska skydda uppgifter genom tekniska och organisatoriska skyddsåtgärder. Vidare ska organisationer säkerställa att den registrerades fri och rätttigheter tillgodoses. Ett grundläggande krav är att skaffa sig kunskap om, och dokumentera organisationens personuppgiftsbehandlingar i en registerförteckning.


Vad innebär det att "behandla" en personuppgift?

När ni använder en personuppgift kallas det att ni "behandlar" den, det omfattar all form av hantering av personuppgifter. Allt från ert kundregister, fakturor, ärendehanteringssystem, arbetsplaneringsverktyg, lönesystem, personalsamtal som dokumenteras, ansökningshandlingar, CV, information om sjukpenning, uppgift om allergi, rörelseförhinder, loggböcker, arbetsordrar, inspelningar, ljudupptagningar, fotografier och vanliga pärmar där namn eller personummer finns med, tillsammans med alla de uppgifter som går att härleda till personen.  


Börja upprätta en registerförteckning!

Företagets behandling av personuppgifter ska dokumenteras i en så kallad registerförteckning där varje behandling är styrkt med en rättslig grund.

Registerförteckningen är därför det mest grundläggande dokumentet i er efterlevnaden av förordningen eftersom den visar att alla era behandlingar har en rättslig grund och därmed är lagliga (Se Artikel 30 i GDPR).


Informationsplikt

En grundläggande princip är att vara öppen med hur man behandlar personuppgifter och informera ägarna till personuppgifterna om omständigheterna kring hur de handlas. Med en integritetspolicy för kunder och/eller anställda uppfyller ni kravet på öppenhet och information till de registrerade.


Vad är nästa steg?

Det kan vara svårt att veta vad och hur man ska göra för att uppfylla prinicper och krav i Dataskyddsförordningen. För att få information och diskutera vilken lösning som passar er bäst fyll i kontaktformuläret på kontaktsidan, för att komma dit klicka här

Organisatorisk efterlevnad

Dokumentation av behandlingar i en Registerförteckning  


Registerförteckningen är hjärtat i er efterlevnad av Dataskyddsförordningen som visar att ni vet vilka personuppgifter ni behandlar och att ni har en rättslig grund som legitimerar er behandling. 


Arbetet innebär i stora drag följande: 

Kartläggning register (databaser, programvara m.m.)

Kartläggning av personuppgifter

Känslighetsklassning av personuppgifter

Kartläggning av behandlingar med risk för den registrerade

Riskkartläggning och analys

Bedöming av adekvata skyddsåtgärder

Rättslig grund för behandling av personuppgifter

m.m.

=

Registerförteckning



För att få hjälp att upprätta er registerförteckning

klicka på: Kontakt. 

Organisatorisk efterlevnad

Transparens med hur man hanterar personuppgifter

i en Integritetspolicy


Ni behöver en integritetspolicy för privatkunder och anställda.

Med en integritetspolicy uppfyller du kravet på öppenhet genom att placera den på er hemsida. 


Arbetet innebär i stora drag följande: 

Information om företaget

Kartläggning av personuppgifter

Gallringstid för personuppgifter

Rättslig grund för behandlingen

Vilka intressenter som personuppgifter delas med

Om de överförs till 3:dje land

Att och hur de skyddas

Vilken roll som ni har (Personuppgiftsansvarig/biträde)

De registrerade rättigheter

Kontaktuppgifter till er

m.m.

=

Integritetspolicy


För att få hjälp att upprätta er integritetspolicy

klicka på: Kontakt. 

Vad behöver man ta reda på?

Var lagrar ni uppgifter?

Vilka system och medier lagras ni personuppgifter på?

Vilken känslighetsgrad har informationen?

Hanterar ni hälsodata, facktillhörighet eller annan känslig information? 

Finns det något som riskerar att hota individens rätt till integritet och konfidentialitet?

Är lagerinsplatserna säkrade mot hot och brister?

Checklista

Registerförteckning

Rutin för att lägga in och uppdatera

Integritetspolicy

Redogörelse för personuppgiftsbehandlingar, ändamål, gallring och rättslig grund

Incidenthanteringsplan

Process och rutin för att upptäcka, avvärja och rapportera incidenter

Riskmedvetenhet

Process och rutin för riskarbete

Adekvata skyddsåtgärder

IT-säkerhetskrav på samarbetspartners och egna system och medier

Kompentens bland medarbetarna

Utbildning i säker användning av digitala arbetsverktyg


Informationssäkerhetsstandarden

ISO 27000

(under uppbyggnad)

Plan 

Do 

Check 

Act

Riktighet

Tillgänglighet

Konfidentialitet

Informationen ska ha ett skydd som är anpassat för dess känslighet och  informationssäkerhetsaspekter