Konsulttjänster inom efterlevnad av regelverk för säkerhet
GDPR - Dataskyddsförordningen,
ISO 27000 - Informationssäkerhet &
Cybersäkerhetslagen
Dataskyddsförordningen / GDPR
'%3e%3cg id='icon-courses' transform='translate(456.000000%2c 1547.000000)'%3e%3cg id='Group-3' transform='translate(0.000000%2c 4.000000)'%3e%3cmask id='mask-2' fill='%23d4901e'%3e%3cuse xlink:href='%23path-1'/%3e%3c/mask%3e%3cg id='Clip-2'/%3e%3cpath d='M15.0231111%2c26.98296 L0.444148148%2c26.98296 C0.198814815%2c26.98296 -0.000296296296%2c26.78136 -0.000296296296%2c26.53296 L-0.000296296296%2c0.47136 C-0.000296296296%2c0.22296 0.198814815%2c0.02136 0.444148148%2c0.02136 L3.28918519%2c0.02136 C3.53451852%2c0.02136 3.73362963%2c0.22296 3.73362963%2c0.47136 C3.73362963%2c0.72036 3.53451852%2c0.92136 3.28918519%2c0.92136 L0.888592593%2c0.92136 L0.888592593%2c26.08296 L15.0231111%2c26.08296 C15.2684444%2c26.08296 15.4675556%2c26.28456 15.4675556%2c26.53296 C15.4675556%2c26.78136 15.2684444%2c26.98296 15.0231111%2c26.98296' id='Fill-1' fill='rgba(0%2c0%2c0%2c1)' mask='url(%23mask-2)'/%3e%3c/g%3e%3cpath d='M46.4915254%2c31 L32.4561674%2c31 C32.204363%2c31 32%2c30.7981129 32%2c30.5493591 C32%2c30.3006053 32.204363%2c30.0987182 32.4561674%2c30.0987182 L46.0365745%2c30.0987182 L46.0864488%2c4.90128182 L43.1462979%2c4.90128182 C42.8944936%2c4.90128182 42.6901306%2c4.69999555 42.6901306%2c4.45064091 C42.6901306%2c4.20188713 42.8944936%2c4 43.1462979%2c4 L46.5438326%2c4 C46.664869%2c4 46.7816479%2c4.04806836 46.8667991%2c4.13278886 C46.9525586%2c4.21750935 47%2c4.33227257 47%2c4.45184262 L46.9476928%2c30.5499599 C46.9470846%2c30.7987137 46.7433298%2c31 46.4915254%2c31' id='Fill-4' fill='rgba(0%2c0%2c0%2c1)'/%3e%3cpath d='M18.5211951%2c5 L9.4788049%2c5 C9.2145046%2c5 9%2c4.776 9%2c4.5 C9%2c4.224 9.2145046%2c4 9.4788049%2c4 L18.5211951%2c4 C18.7854954%2c4 19%2c4.224 19%2c4.5 C19%2c4.776 18.7854954%2c5 18.5211951%2c5' id='Fill-6' fill='rgba(0%2c0%2c0%2c1)'/%3e%3cpath d='M19.5477452%2c12 L6.45225481%2c12 C6.20261016%2c12 6%2c11.776 6%2c11.5 C6%2c11.224 6.20261016%2c11 6.45225481%2c11 L19.5477452%2c11 C19.7973898%2c11 20%2c11.224 20%2c11.5 C20%2c11.776 19.7973898%2c12 19.5477452%2c12' id='Fill-8' fill='rgba(0%2c0%2c0%2c1)'/%3e%3cpath d='M15.5581217%2c18 L6.44187828%2c18 C6.19796147%2c18 6%2c17.776 6%2c17.5 C6%2c17.224 6.19796147%2c17 6.44187828%2c17 L15.5581217%2c17 C15.8020385%2c17 16%2c17.224 16%2c17.5 C16%2c17.776 15.8020385%2c18 15.5581217%2c18' id='Fill-10' fill='rgba(0%2c0%2c0%2c1)'/%3e%3cpath d='M13.5070654%2c23 L6.4929346%2c23 C6.2208347%2c23 6%2c22.776 6%2c22.5 C6%2c22.224 6.2208347%2c22 6.4929346%2c22 L13.5070654%2c22 C13.7791653%2c22 14%2c22.224 14%2c22.5 C14%2c22.776 13.7791653%2c23 13.5070654%2c23' id='Fill-12' fill='rgba(0%2c0%2c0%2c1)'/%3e%3cpath d='M39.546252%2c18 L30.453748%2c18 C30.2032791%2c18 30%2c17.776 30%2c17.5 C30%2c17.224 30.2032791%2c17 30.453748%2c17 L39.546252%2c17 C39.7967209%2c17 40%2c17.224 40%2c17.5 C40%2c17.776 39.7967209%2c18 39.546252%2c18' id='Fill-14' fill='rgba(0%2c0%2c0%2c1)'/%3e%3cpath d='M40.4863014%2c23 L33.5136986%2c23 C33.230137%2c23 33%2c22.776 33%2c22.5 C33%2c22.224 33.230137%2c22 33.5136986%2c22 L40.4863014%2c22 C40.769863%2c22 41%2c22.224 41%2c22.5 C41%2c22.776 40.769863%2c23 40.4863014%2c23' id='Fill-16' fill='rgba(0%2c0%2c0%2c1)'/%3e%3cpath d='M37.5211951%2c5 L28.4788049%2c5 C28.2145046%2c5 28%2c4.776 28%2c4.5 C28%2c4.224 28.2145046%2c4 28.4788049%2c4 L37.5211951%2c4 C37.7854954%2c4 38%2c4.224 38%2c4.5 C38%2c4.776 37.7854954%2c5 37.5211951%2c5' id='Fill-18' fill='rgba(0%2c0%2c0%2c1)'/%3e%3cpath d='M40.5477841%2c12 L27.4522159%2c12 C27.2025927%2c12 27%2c11.776 27%2c11.5 C27%2c11.224 27.2025927%2c11 27.4522159%2c11 L40.5477841%2c11 C40.7974073%2c11 41%2c11.224 41%2c11.5 C41%2c11.776 40.7974073%2c12 40.5477841%2c12' id='Fill-20' fill='rgba(0%2c0%2c0%2c1)'/%3e%3cpath d='M15.052455%2c28 C14.8013529%2c28 14.5975599%2c27.7990774 14.5975599%2c27.551512 C14.5975599%2c27.3039467 14.8013529%2c27.1030241 15.052455%2c27.1030241 L43.038655%2c27.1030241 L43.0896032%2c0.89697591 L3.90979023%2c0.89697591 L3.90979023%2c27.1030241 L14.635664%2c27.1030241 C14.8867661%2c27.1030241 15.0905592%2c27.3039467 15.0905592%2c27.551512 C15.0905592%2c27.7990774 14.8867661%2c28 14.635664%2c28 L3.45489512%2c28 C3.20379301%2c28 3%2c27.7990774 3%2c27.551512 L3%2c0.448487955 C3%2c0.200922604 3.20379301%2c0 3.45489512%2c0 L43.5451049%2c0 C43.6658037%2c0 43.7822569%2c0.0472407312 43.8671706%2c0.131556467 C43.9526909%2c0.216470186 44%2c0.330685119 44%2c0.449683923 L43.9478387%2c27.55211 C43.9472322%2c27.7996754 43.7440457%2c28 43.4929436%2c28 L15.052455%2c28 Z' id='Fill-22' fill='rgba(0%2c0%2c0%2c1)'/%3e%3cpath d='M24%2c27.5604339 L24%2c0.439566135 C24%2c0.196925629 24.224%2c0 24.5%2c0 C24.776%2c0 25%2c0.196925629 25%2c0.439566135 L25%2c27.5604339 C25%2c27.8030744 24.776%2c28 24.5%2c28 C24.224%2c28 24%2c27.8030744 24%2c27.5604339 Z' id='Fill-24' fill='rgba(0%2c0%2c0%2c1)'/%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
Integritetspolicy
Enligt Dataskyddsförordningen ska företag informera de registrerade om omständigheterna för er behandling av personuppgifter.
Integritetskyddspolicyn är viktig i er efterlevnad och innehåller bland annat information om er behandling av personuppgifter samt vidtagna skyddsåtgärder. Policyn gör att ni lever upp till "Rätten att få information" som den registrerade har enligt Dataskyddsförordningen.
Observera att en policy kan behöver upprättas för både kunder och anställda.
'%3e%3cg id='Group-2' transform='translate(1301.000000%2c 1020.000000)'%3e%3ccircle id='Oval' stroke='%233c3c3c' cx='7.5' cy='4.5' r='3.5'/%3e%3cpath d='M-3.55271368e-13%2c14.030126 L-3.55271368e-13%2c20.6885114 C0.666666667%2c21.9277591 1.66666667%2c22.547383 3%2c22.547383 C3%2c23.4768188 3%2c24.0964426 3%2c24.4062545 L3%2c34.0342389 C3.00007378%2c35.1842664 3.93235527%2c36.1165479 5.08238278%2c36.1165479 C5.6083149%2c36.1165479 6.11476644%2c35.9175337 6.5%2c35.5594838 C6.5%2c35.5594838 6.5%2c35.5594838 6.5%2c35.5594838 C6.5%2c34.3747284 6.5%2c31.4909839 6.5%2c26.9082504 C6.4999705%2c26.2988508 6.99398642%2c25.8048349 7.60338594%2c25.8048349 C7.95896405%2c25.8048349 8.29275175%2c25.9761902 8.5%2c26.2651261 C8.5%2c26.2651261 8.5%2c26.2651261 8.5%2c26.2651261 C8.5%2c27.1035753 8.5%2c29.7068875 8.5%2c34.0750624 C8.49994496%2c35.3317655 9.51870404%2c36.3505245 10.7754071%2c36.3505245 C11.4380272%2c36.3505245 12.0677328%2c36.0616896 12.5%2c35.5594838 C12.5%2c35.5594838 12.5%2c35.5594838 12.5%2c35.5594838 C12.5%2c34.0104242 12.5%2c26.8847499 12.5%2c14.182461 L16.5%2c16.5060504 C17.1666667%2c16.8158624 17.8333333%2c16.8158624 18.5%2c16.5060504 C19.1666667%2c16.1962385 20%2c15.7315206 21%2c15.1118968 L23.4178279%2c13.5067427 C24.1814359%2c12.9998747 24.3894916%2c11.9699356 23.8825694%2c11.2063636 C23.575051%2c10.7431517 23.0559971%2c10.4647179 22.5%2c10.4647179 C22.5%2c10.4647179 22.5%2c10.4647179 22.5%2c10.4647179 C22.2459918%2c10.4647179 21.8952034%2c10.5546689 21.4476347%2c10.734571 C20.8066668%2c10.9922104 20.1624688%2c11.24174 19.515195%2c11.4830997 L17.2611864%2c12.3235894 L17.2611864%2c12.3235894 L13.5%2c10.4647179 C13.1666667%2c10.154906 12.5%2c10 11.5%2c10 C9.06884551%2c10 6.63769103%2c10 4.20653654%2c10 C3.10966955%2c10 2.05343064%2c10.4150575 1.25%2c11.1617947 C0.452869421%2c11.9026764 -3.55848731e-13%2c12.94186 -3.55271368e-13%2c14.030126 Z' id='Path-4' stroke='%233c3c3c'/%3e%3cpath d='M16%2c11.5 L16%2c3 C16%2c1.34314575 17.3431458%2c2.08071603e-15 19%2c1.77635684e-15 L55.5%2c1.77635684e-15 C57.1568542%2c1.47199765e-15 58.5%2c1.34314575 58.5%2c3 L58.5%2c24 C58.5%2c25.6568542 57.1568542%2c27 55.5%2c27 L19%2c27 C17.3431458%2c27 16%2c25.6568542 16%2c24 L16%2c16.5 L16%2c16.5' id='Path-5' stroke='%233c3c3c'/%3e%3cpath d='M32.397%2c9.356 C33.5636725%2c9.356 34.4596635%2c9.63366389 35.085%2c10.189 C35.7103365%2c10.7443361 36.023%2c11.5819944 36.023%2c12.702 L36.023%2c17 L33.979%2c17 L33.979%2c16.062 C33.5683313%2c16.7620035 32.8030056%2c17.112 31.683%2c17.112 C31.1043304%2c17.112 30.6026688%2c17.014001 30.178%2c16.818 C29.7533312%2c16.621999 29.4290011%2c16.3513351 29.205%2c16.006 C28.9809989%2c15.6606649 28.869%2c15.2686689 28.869%2c14.83 C28.869%2c14.1299965 29.132664%2c13.5793353 29.66%2c13.178 C30.187336%2c12.7766647 31.0016612%2c12.576 32.103%2c12.576 L33.839%2c12.576 C33.839%2c12.0999976 33.6943348%2c11.733668 33.405%2c11.477 C33.1156652%2c11.220332 32.6816696%2c11.092 32.103%2c11.092 C31.7016647%2c11.092 31.3073353%2c11.1549994 30.92%2c11.281 C30.5326647%2c11.4070006 30.203668%2c11.5773323 29.933%2c11.792 L29.149%2c10.266 C29.5596687%2c9.97666522 30.0519971%2c9.75266746 30.626%2c9.594 C31.2000029%2c9.43533254 31.7903303%2c9.356 32.397%2c9.356 Z M32.229%2c15.642 C32.6023352%2c15.642 32.9336652%2c15.5556675 33.223%2c15.383 C33.5123348%2c15.2103325 33.7176661%2c14.9560017 33.839%2c14.62 L33.839%2c13.85 L32.341%2c13.85 C31.4449955%2c13.85 30.997%2c14.1439971 30.997%2c14.732 C30.997%2c15.0120014 31.1066656%2c15.2336659 31.326%2c15.397 C31.5453344%2c15.5603342 31.8463314%2c15.642 32.229%2c15.642 Z M42.449%2c9.356 C43.1490035%2c9.356 43.7859971%2c9.51699839 44.36%2c9.839 C44.9340029%2c10.1610016 45.3843317%2c10.6136638 45.711%2c11.197 C46.0376683%2c11.7803362 46.201%2c12.4593295 46.201%2c13.234 C46.201%2c14.0086705 46.0376683%2c14.6876637 45.711%2c15.271 C45.3843317%2c15.8543362 44.9340029%2c16.3069984 44.36%2c16.629 C43.7859971%2c16.9510016 43.1490035%2c17.112 42.449%2c17.112 C41.4129948%2c17.112 40.624336%2c16.7853366 40.083%2c16.132 L40.083%2c17 L37.997%2c17 L37.997%2c6.612 L40.181%2c6.612 L40.181%2c10.266 C40.7316694%2c9.6593303 41.4876619%2c9.356 42.449%2c9.356 Z M42.071%2c15.32 C42.6310028%2c15.32 43.0906649%2c15.1310019 43.45%2c14.753 C43.8093351%2c14.3749981 43.989%2c13.8686698 43.989%2c13.234 C43.989%2c12.5993302 43.8093351%2c12.0930019 43.45%2c11.715 C43.0906649%2c11.3369981 42.6310028%2c11.148 42.071%2c11.148 C41.5109972%2c11.148 41.0513351%2c11.3369981 40.692%2c11.715 C40.3326649%2c12.0930019 40.153%2c12.5993302 40.153%2c13.234 C40.153%2c13.8686698 40.3326649%2c14.3749981 40.692%2c14.753 C41.0513351%2c15.1310019 41.5109972%2c15.32 42.071%2c15.32 Z' id='ab' fill='%233c3c3c'/%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
Registerförteckning
Enligt Dataskyddsförordningen ska företag dokumentera sin behandling av personuppgifter i en registerförteckning.
Förteckningen är det första en IMY kontrollerar vid tillsyn.
Registerförteckningen ska omfatta alla behandlingar som görs av organisationen och ska uppdateras när nya behandlingar tillkommer. Varje behandling ska ha ett ändamål och styrkas med en rättslig grund.
Registerförteckningen ska innehålla flera lagstadgade informationsområden men kan anpassas till era behov.
Rutiner
Genom att ha ledningsdokument så som rutiner uppfyller ni kravet på att vidta organisatoriska skyddsåtgärder.
Exempelvis:
-
Rutiner för att fylla registerförteckning
- Rutiner för inköp av t.ex. IT-system
-
Rutiner för att tillmötesgå de grundläggande principerna för att få behandla personuppgifter.
- Rutiner för att bedöma och dokumentera om en Personuppgiftsincident skett.
- Rutiner för att hantera de registrerades rättigheter, t.ex. hantera registerutdrag, samtycken eller radering av registrerades personuppgifter.
Uppfylla krav på adekvata "Tekniska säkerhetsåtgärder"
Enligt Dataskyddsförordningen ska företag vidta lämpliga adekvata "tekniska säkerhetsåtgärder".
Målet är personuppgifter alltid ska vara skyddade på ett adekvat sätt.
"Säkerställande av tekniska säkerhetsåtgärder" innebär att data, lagringsmedia och accessenheter är försedda med säkerhetsåtgärder.
- Exempel på ramverk för säkerhet är ISO 27000-serien.
Skicka en förfrågan
Ange era kontaktuppgifter och beskriv vad ni behöver hjälp med så blir ni kontaktade via mail inom kort.
Observera att lämnade uppgifter behandlas konfidentiellt, delas inte med andra parter, lagras på krypterad lagringsmedia samt raderas när ärendet eller uppdraget är slutfört.
Uppfylla krav på juridiska säkerhetsåtgärder
Enligt Dataskyddsförordningen ska företag granska och säkra säkerheten hos leverantörer och skriva avtal som säkerställer ett adekvat skydd samt bifoga instruktioner till personuppgiftsbiträdet.
Vid upprättandet av PuB-avtal med leverantörer initieras av en kartläggning av era leverantörer, vilka personuppgifter som förmedlas, era skyddskrav samt instruktioner till leverantören som denne ska följa för att er integritetspolicy ska upprätthållas öven när uppgifter överförs till underleverantörer.
Ni kan också få stöd i att tolka biträdesavtal. dess instruktioner och hur ni ska uppfylla kraven.
Uppfylla krav på "Organisatoriska säkerhetsåtgärder"
Enligt Dataskyddsförordningen ska företag vidta "organisatioriska skyddsåtgärder".
IMY rekommenderar att företag upprättar ett ledningssystem för dataskydd, i likhet med informationssäkerhet.
Det finns flera ramverk för informationssäkerhet, ett är ISO 27000 som är en standard för hur företag uppnår informationssäkerhet, ett annat är LIS som står för "ledningssystem för informationssäkerhet" och är från MSB. Jag arbetar utifrån de standarder som passar uppdraget bäst så att ni uppfyller kravet på organisatoriska säkerhetsåtgärder.
Exempel på krav i Dataskyddsförordningen och hur man uppfyller dem
Krav 1 till 3 är grundläggande och lämpliga att vi börjar med.
Klicka på "Kontaktformulär" för att diskutera en skräddarsydd lösning
'%3e%3cg id='icon-courses' transform='translate(456.000000%2c 1547.000000)'%3e%3cg id='Group-3' transform='translate(0.000000%2c 4.000000)'%3e%3cmask id='mask-2' fill='rgba(255%2c255%2c255%2c1)'%3e%3cuse xlink:href='%23path-1'/%3e%3c/mask%3e%3cg id='Clip-2'/%3e%3cpath d='M15.0231111%2c26.98296 L0.444148148%2c26.98296 C0.198814815%2c26.98296 -0.000296296296%2c26.78136 -0.000296296296%2c26.53296 L-0.000296296296%2c0.47136 C-0.000296296296%2c0.22296 0.198814815%2c0.02136 0.444148148%2c0.02136 L3.28918519%2c0.02136 C3.53451852%2c0.02136 3.73362963%2c0.22296 3.73362963%2c0.47136 C3.73362963%2c0.72036 3.53451852%2c0.92136 3.28918519%2c0.92136 L0.888592593%2c0.92136 L0.888592593%2c26.08296 L15.0231111%2c26.08296 C15.2684444%2c26.08296 15.4675556%2c26.28456 15.4675556%2c26.53296 C15.4675556%2c26.78136 15.2684444%2c26.98296 15.0231111%2c26.98296' id='Fill-1' fill='rgba(0%2c0%2c0%2c1)' mask='url(%23mask-2)'/%3e%3c/g%3e%3cpath d='M46.4915254%2c31 L32.4561674%2c31 C32.204363%2c31 32%2c30.7981129 32%2c30.5493591 C32%2c30.3006053 32.204363%2c30.0987182 32.4561674%2c30.0987182 L46.0365745%2c30.0987182 L46.0864488%2c4.90128182 L43.1462979%2c4.90128182 C42.8944936%2c4.90128182 42.6901306%2c4.69999555 42.6901306%2c4.45064091 C42.6901306%2c4.20188713 42.8944936%2c4 43.1462979%2c4 L46.5438326%2c4 C46.664869%2c4 46.7816479%2c4.04806836 46.8667991%2c4.13278886 C46.9525586%2c4.21750935 47%2c4.33227257 47%2c4.45184262 L46.9476928%2c30.5499599 C46.9470846%2c30.7987137 46.7433298%2c31 46.4915254%2c31' id='Fill-4' fill='rgba(0%2c0%2c0%2c1)'/%3e%3cpath d='M18.5211951%2c5 L9.4788049%2c5 C9.2145046%2c5 9%2c4.776 9%2c4.5 C9%2c4.224 9.2145046%2c4 9.4788049%2c4 L18.5211951%2c4 C18.7854954%2c4 19%2c4.224 19%2c4.5 C19%2c4.776 18.7854954%2c5 18.5211951%2c5' id='Fill-6' fill='rgba(0%2c0%2c0%2c1)'/%3e%3cpath d='M19.5477452%2c12 L6.45225481%2c12 C6.20261016%2c12 6%2c11.776 6%2c11.5 C6%2c11.224 6.20261016%2c11 6.45225481%2c11 L19.5477452%2c11 C19.7973898%2c11 20%2c11.224 20%2c11.5 C20%2c11.776 19.7973898%2c12 19.5477452%2c12' id='Fill-8' fill='rgba(0%2c0%2c0%2c1)'/%3e%3cpath d='M15.5581217%2c18 L6.44187828%2c18 C6.19796147%2c18 6%2c17.776 6%2c17.5 C6%2c17.224 6.19796147%2c17 6.44187828%2c17 L15.5581217%2c17 C15.8020385%2c17 16%2c17.224 16%2c17.5 C16%2c17.776 15.8020385%2c18 15.5581217%2c18' id='Fill-10' fill='rgba(0%2c0%2c0%2c1)'/%3e%3cpath d='M13.5070654%2c23 L6.4929346%2c23 C6.2208347%2c23 6%2c22.776 6%2c22.5 C6%2c22.224 6.2208347%2c22 6.4929346%2c22 L13.5070654%2c22 C13.7791653%2c22 14%2c22.224 14%2c22.5 C14%2c22.776 13.7791653%2c23 13.5070654%2c23' id='Fill-12' fill='rgba(0%2c0%2c0%2c1)'/%3e%3cpath d='M39.546252%2c18 L30.453748%2c18 C30.2032791%2c18 30%2c17.776 30%2c17.5 C30%2c17.224 30.2032791%2c17 30.453748%2c17 L39.546252%2c17 C39.7967209%2c17 40%2c17.224 40%2c17.5 C40%2c17.776 39.7967209%2c18 39.546252%2c18' id='Fill-14' fill='rgba(0%2c0%2c0%2c1)'/%3e%3cpath d='M40.4863014%2c23 L33.5136986%2c23 C33.230137%2c23 33%2c22.776 33%2c22.5 C33%2c22.224 33.230137%2c22 33.5136986%2c22 L40.4863014%2c22 C40.769863%2c22 41%2c22.224 41%2c22.5 C41%2c22.776 40.769863%2c23 40.4863014%2c23' id='Fill-16' fill='rgba(0%2c0%2c0%2c1)'/%3e%3cpath d='M37.5211951%2c5 L28.4788049%2c5 C28.2145046%2c5 28%2c4.776 28%2c4.5 C28%2c4.224 28.2145046%2c4 28.4788049%2c4 L37.5211951%2c4 C37.7854954%2c4 38%2c4.224 38%2c4.5 C38%2c4.776 37.7854954%2c5 37.5211951%2c5' id='Fill-18' fill='rgba(0%2c0%2c0%2c1)'/%3e%3cpath d='M40.5477841%2c12 L27.4522159%2c12 C27.2025927%2c12 27%2c11.776 27%2c11.5 C27%2c11.224 27.2025927%2c11 27.4522159%2c11 L40.5477841%2c11 C40.7974073%2c11 41%2c11.224 41%2c11.5 C41%2c11.776 40.7974073%2c12 40.5477841%2c12' id='Fill-20' fill='rgba(0%2c0%2c0%2c1)'/%3e%3cpath d='M15.052455%2c28 C14.8013529%2c28 14.5975599%2c27.7990774 14.5975599%2c27.551512 C14.5975599%2c27.3039467 14.8013529%2c27.1030241 15.052455%2c27.1030241 L43.038655%2c27.1030241 L43.0896032%2c0.89697591 L3.90979023%2c0.89697591 L3.90979023%2c27.1030241 L14.635664%2c27.1030241 C14.8867661%2c27.1030241 15.0905592%2c27.3039467 15.0905592%2c27.551512 C15.0905592%2c27.7990774 14.8867661%2c28 14.635664%2c28 L3.45489512%2c28 C3.20379301%2c28 3%2c27.7990774 3%2c27.551512 L3%2c0.448487955 C3%2c0.200922604 3.20379301%2c0 3.45489512%2c0 L43.5451049%2c0 C43.6658037%2c0 43.7822569%2c0.0472407312 43.8671706%2c0.131556467 C43.9526909%2c0.216470186 44%2c0.330685119 44%2c0.449683923 L43.9478387%2c27.55211 C43.9472322%2c27.7996754 43.7440457%2c28 43.4929436%2c28 L15.052455%2c28 Z' id='Fill-22' fill='rgba(0%2c0%2c0%2c1)'/%3e%3cpath d='M24%2c27.5604339 L24%2c0.439566135 C24%2c0.196925629 24.224%2c0 24.5%2c0 C24.776%2c0 25%2c0.196925629 25%2c0.439566135 L25%2c27.5604339 C25%2c27.8030744 24.776%2c28 24.5%2c28 C24.224%2c28 24%2c27.8030744 24%2c27.5604339 Z' id='Fill-24' fill='rgba(0%2c0%2c0%2c1)'/%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
01
Registerförteckning
Alla organisationer ska dokumentera sina personuppgiftsbehandlingar, detta görs i en registerförteckning, även kallad behandlingsregister eller Artikel 30 register.
- Genom att upprätta en registerförteckning över organisationens alla behandlingar av personuppgifter får ni en helhetsbild över alla de personuppgifter ni ansvarar för.
- Denna del är därför en av de grundläggande dokumenten i er organisation och något som ska göras först.
- Registerförteckningen innehåller bland annat: information om alla era behandlingar, dess ändamål, laglig grund och när uppgifterna tas bort.
- Förteckningen skall kunna uppvisas på begäran av tillsyndsmyndigheten.
- Att ha dokumenterade lagliga grunder för att få behandla personuppgifter är det mest grundläggande i att följa GDPR efter som den gör era behandlingar lagliga.
04
Rutiner
Det ska finnas rutiner för hur företaget tillmötesgår de registrerades rättigheter
- Enligt GDPR ska man ha processer, information och rutiner för att hantera de registrerades rättigheter.
Till exempel:
- Rätten att bli glömd
- Rätt att få information
- Rätt att korrekta uppgifter behandlas
07
Utbildning
Organisationen ansvar för att förmedla kunskap till sina anställda om hur de skyddar personuppgifter från att kränkas, t.ex. ska de veta hur de skyddar er IT-miljö från personuppgiftsincidenter och cybersäkerhetshot.
- Enligt GDPR ska organisationer utbilda sina anställda så att de har den kunskap de behöver för att organisationen ska kunna uppfylla krav i GDPR samt att hantera personuppgifter på ett säkert sätt.
- De anställa ska också ha grundläggande kunskap om hur de unviker att själva bli en del av ett antagonistiskt angrepp (virus, phising-mail, m.m).
- Detta uppfylls genom utbildning och en intern IT/informationssäkerhetspolicy som hjälper anställda att inte begå onödiga misstag som gör att säkerheten äventyras.
10
Kontinuerligt skydd
Organisationer är skyldiga att skapa förutsättningar och upprätthålla en medvetenhet hos anställda hur man hanterar information på ett säkert sätt och inte utsätter skalskyddet för sårbarheter.
- Ledningen är ytterst ansvarig för att förordningen efterlevs och att personuppgifter hanteras på ett säkert sätt.
- Med en IT-säkerhetspolicy som visar vilka IT-säkerhetsåtgärder organisationen har vidtagit uppfylls kravet på att ha vidtagit "adekvata tekniska skyddsåtgärder", och det bör varje organisation ha.
Exempel:
- två faktor autenticiering
- Krypterad data
- Behörighetsstyrning
- Antivirus
- Brandvägg
- EDR (End Point Detection)
- Privacy by Design/by Default
13
Kontinuerlig förmåga 3
Nya behandlingar ska registreras i registerförteckningen och förses med en rättslig grund, ändamål och när uppgifterna kan raderas.
- Genom att dokumentera detta i en integritetspolicy för kunder och i er registerförtecking för era interna behandlingar uppfyller ni kravet på dokumentation, laglighet, kunskap och öppenhet.
02
Integritetspolicy
Omständigheterna kring er behandling av kunders/anställdas personuppgifter ska dokumenteras i integritetspolicies
- Med en integritetspolicy tillgänglig på er webbplats/internwebb uppfyller ni kravet på transparens gentemot kunder och anställda.
- Integritetspolicyn innehåller information om er som personuppgiftsansvarig, vilka personuppgifter ni behandlar, att/hur de skyddas, hur länge de lagras, hur man kommer i kontakt med er som personuppgiftsansvarig och vilka rättigheter den registrerade har.
05
Skyldighet att föra dokumentation
Principen om Ansvarsskydlighet innebär att organisationer ska kunna visa dokument som visar hur ni följer Dataskyddsförordningen.
- Det finns olika typer av dokument, de relevanta för att uppnå kravet består av normerande dokument så som Policy, Riktlinjer och Rutiner.
- Principerna kommer du till genom att klicka här.
- Principerna kan appliceras på flera olika delar av organisationen och hur respektive avdelning/enhet arbetar
kan skilja sig åt.
- En övergripande riktlinje kan vara bra att bryta ned till avdelnings- eller enhetsspecifika instruktioner.
08
Personuppgiftsincidenter
Personuppgiftsincidenter ska alltid dokumenteras och i vissa fall rapporteras till Integritetskyddsmyndigheten (IMY)
- Anställda ska förses med den den kunskap som behövs för att kunna förhindra och upptäcka en personuppgiftsincident.
- Utbildning och rutiner ska finnas för hur de ska agera när en sådan upptäcks.
- En personuppgiftsincident ska alltid dokumenteras och i vissa fall rapporteras till tillsynsmyndigheten.
- Rutiner för att hantera detta är bra att ha på plats eftersom man bara har 72h på sig.
11
Riskmedvetenhet
Organisationer är skyldiga att ha kunskap om alla personuppgifter de behandlar. Dessa ska kartläggas, analyseras och dokumenteras med beaktande av dess känslighet och behandlingens risk att kränka de registrerades rätt till integritet.
- Genom att ha kunskap om detta kan man avgöra vilket skyddsvärde som personuppgifterna har, och om behandlingen innebär särskild risk som gör att ni behöver vidta specifika åtgärder.
- Detta kan dokumenteras i en del av Registerförteckning
14
Den registrerades rätt till information
De registrerade har rätt till information om hur ni behandlar deras personuppgifter, innan ni gör det. Informationen ska ges på ett tydligt och lättförståeligt sätt.
- GDPR ställer krav på de registrerade ska få att information om sina rättigheter samt att informationen ska vara tydlig och lättillgänglig.
- Ett lämligt dokument är detta är en Integritetspolicy på er hemsida.
03
PuB-avtal
Det ska finnas PuB-avtal med leverantörer som säkerställer att de följer GDPR och att de hanterar personuppgifter enligt era instruktioner.
- Upprättar ni juridiska avtal med era leverantörer (personuppgiftsbiträden) villkorar ni att uppgifterna står under adekvat skydd även när de lämnar er organisation.
- Observera att ni måste bedöma om leverantören om leverantörens skyddsåtgärder är adekvata för de personuppgifter de behandlar.
- Det är mycket viktigt att instruktionerna till biträdet avspelgar era policies och registerförteckningen.
06
Kontinuerlig förmåga
Efterlevnad av GDPR är ett kontinuerligt arbete och behöver en aktiv förvaltning eller regelbunden översyn.
- Att efterleva förordningen är ingen engångsinstats; leverantörer byts ut, nya personuppgifter tillkommer, behandlingar tillkommer, ändamål ändras, nya programvararor införskaffas, personal byts ut, anställdas kunskap behöver förnyas och rutiner behöver anpassas till de nya omständigheterna.
- Er dokumentation behöver vara "up-to-date" och motsvara aktuella förhållanden.
- En plan i form av en systematiskt arbetssätt med dataskydd är lämpligt att upprätta - t.ex. en Dataskyddspolicy
09
Dokumentation av organisatoriska åtgärder
Exempel på dokument organisationer är skyldiga att hålla för att efterleva GDPR och klara kontroll från Integritetskyddsmyndigheten (IMY):
1. Registerförteckning
2. Integritetspolicyies
3. Rutiner för att hantera de registrerades rättigheter
4. Beskrivning av hur ni uppfyller de grundläggande principerna för att få behandla personuppgifter enligt GDPR
5. Vilka skyddsåtgärder ni vidtagit för att skydda personuppgifter.
6. Vid behov: Konsekvensbedömningar av nya behandlingar av personuppgifter.
7. Använder ni den rättsliga grunden "legitimt intresse" kan ni behöva motivera och dokumentera er intresseavvägning
8. Rutiner för att hantera personuppgiftsincidenter
9. Rutiner för att hur den registrerades rätt till information ska uppfyllas
10. En dataskyddspolicy för anställda
11. En rutin för inköp som inkluderar säkerhetsaspekter utifrån GDPR
12. En beskrivning av ert kommande och kontinuerliga dataskyddsarbete
12
Kontinuerlig förmåga 2
Företag behöver behöver alltid säkerställa att deras behandling av personuppgifter sker enligt lagen och att uppgifterna inte utsätts för risk.
- Behandlingar ska analyseras om den kan innebära några risker utifrån den registrerades fri- och rättigheter. Exempel på analyser är DPIA, PIA och TIA.
- Analyserna ska dokumenteras och kunna visa vid kontroll från IMY.
- Analyser kan ni få hjälp med genom att fylla i kontaktforumläret
15
Dokumentera slutsatserna av era beslut
En behandling kan omfatta hantering som innebär att den registrerades fri- och rättigheter kan kränkas, dessa behandlingar ska analyseras med en konsekvensanalys för att avgöra om behandlingen är förenlig med GDPR.
Exempel:
- Automatiserat beslutsfattande
- Känsliga personuppgifter
- Nyttjande av ny teknik (ex. AI)
- Behandling av stora mängder personer
Genomförda uppdrag inom GDPR och informationssäkerhet
