GDPR-Steg för steg

Skaffa kunskap, inventera och åtgärda. Stegen är i grunden enkla men eftersom det rör de flesta av företagets affärsprocesser kan projektet bli ganska omfattande. Det är då också viktigt att hålla ordning på dokumentation och skaffa bra stöd för projektets genomförande och det fortsatta arbetet efter att projektet är avslutat.


Upprätta projektgrupp

Sätt samman en grupp med personer som får resurser och mandat att genomföra ett inventeringsprojekt. Gå en kurs, delta i seminarier, läs en bok, komplettera med kunskap utifrån.

Inventera och dokumentera

Titta på de processer som finns i organisationen och identifiera när det förekommer personuppgiftsbehandling. Det kan röra sig om marknadsföring, löneutbetalningar, fakturering. Var obeservant även på personuppgifter som adminstreras av underleverantörer, t ex via molntjänster och eventuell utrikes export av data. Utskick via en tjänst utanför Sverige innebär export av personuppgift. Exempel på personuppgiftsbehandlingar.

Prioritera och åtgärda

Skapa underelag för prioritering. Den kan vara baserad på riskanalys, men även processer som är enkla att åtgärda kan priotiteras.  Dokument och bilddatabaser kan komma behöva kompletteras med samtycken.

Informera

Uppdatera personalhandbok och publik webbplats. Var beredd att kunna svara på förfrågningar från individer och upprätta rutiner för detta. Det gäller även rätten att bli gömd och rutiner för att korrigera felaktigheter.

Uppdatera avtal

Passa på att gå igenom avtal, komplettera med samtycken där det behövs. Samtycken skall vara lika enkla att ge som att dra tillbaka. Avtal med underleverantörer,

Incidenthantering

Upprätta rutiner för incidenthantering. Om det inträffar en säkerhetsincident som rör personuppgifter, till exempel ett dataintrång, så finns skyldighet att anmäla den till Integritetsskyddsmyndigheten inom 72 timmar.

GDPR är en process

Projektet är klart när alla personuppgiftsbehandlingar är dokumenterade och företagets processer är uppdaterade med nya rutiner. Arbetet med GDPR är dock en fortvarig process som måste upprätthållas över tid med inventariet som bas.