Vad innebär dataskyddsförordningen? (GDPR)

1. Högre krav kommer att ställas på företagen på hur personuppgifter hanteras, och kraven är desamma i hela EU. Dessutom måste företag kunna visa hur de hanterar uppgifterna på ett säkert och korrekt sätt. Det räcker inte att säga att man har rutiner, man måste kunna visa att de efterföljs.

2. På varje företag måste det finnas en dataskyddschef, data protection officer.

3. Företag som drabbas av en incident, och i vissa fall den enskilde, måste anmäla dataintrång inom 72 timmar. 

4. Rätt att radera uppgifter - Enskilda personer ska kunna få sina uppgifter borttagna, om det inte finns legitima skäl att behålla dem.

5. Rätt till uppgiftsportabilitet - Enskilda personer kan ska enklare kunna få sina uppgifter flyttade från en organisation till en annan

6. Enskilda personer ska kunna vända sig till ”sin egen” tillsynsmyndighet med klagomål som rör uppgifter som hanteras i ett annat land.

7. Dataskydd som standard – känsliga data ska alltid krypteras. Detta kallas också privacy by default.

8. Krav på att ett högt integritetsskydd byggs in från början i processer och system.

GDPR gäller de företag som samlar in, processar eller lagrar personuppgifter. Med personuppgift 
avses information som går att koppla till en individ. Det kan vara uppenbara saker som till exempel ett namn, men det kan också vara information som i kombination med andra uppgifter gör det möjligt att identifiera en person. Exempelvis kan information om yrke, kombinerat med kön och bostadsort göra det möjligt identifiera en person.

Följande kan bedömas vara personuppgifter: Namn / foto / postadress / e-postadress / bankuppgifter / en uppdatering i sociala medier / medicinsk information / en dators IP-adress / ett kundnummer.

Här kommer några tips på vad man kan göra redan nu för att förbereda sin verksamhet:
 

1. Utse en personuppgiftsansvarig/dataskyddschef. Utse eventuellt ett personuppgiftsombud – PUO. Är din organisation en myndighet eller har ni omfattande hantering av personuppgifter kräver lagen att ni utser ett personuppgiftsombud som ska ha egen budget och rapportera direkt till ledningen. PUO ska kunna både juridik och IT och Datainspektionen kommer troligen införa certifiering av ombuden för att säkerställa kunskapen.

2. Säkerställ att ni avsätter både tid och budget under 2017 så att ni får en chans att noga förstå dataskyddsförordningen och göra de förändringar som krävs.

3. Kartlägg var inom organisationen man hanterar känsliga personuppgifter. Glöm inte att informationen finns i både IT-systemen och inom skilda verksamhetsprocesser.

4. Se över hur ni i dag informerar de personer ni begär in information om. Är den tillräckligt tydlig, framgår det vad ni gör med informationen och varför?

5. Sätt upp rutiner och funktioner för hur ni ska plocka bort information, hur ni ska flytta på data, register över er personuppgiftsbehandling, risk- och sårbarhetsanalyser samt hur ni ska anmäla och informera om dataskyddsincidenter.

6. Ta hjälp tidigt i processen. Vi på ESET har en produkt som heter DesLock+ som krypterar din data och säkerställer att den förblir krypterad även om du blir utsatt för ett dataintrång eller något oväntat händer. Tänk på att även backuper på tidigare insamlad data också måste vara krypterad! 

Är du intresserad av DesLock+ och vill veta mer om produkten, kontakta oss på telefon 0303-21 11 00 eller via mail på sales@eset.se