De flesta av oss som arbetar i företag som behandlar personuppgifter är nu medvetna om bomben GDPR. Denna efterlängtade dataskyddsförordning kommer att träda i kraft om bara tolv månader, den 25 maj 2018. För många organisationer finns det en stor fråga om hur man bäst börjar en GDPR-förberedelsekampanj och vilka nyckelområden man ska fokusera på. Det kan tyckas vara en skrämmande uppgift med tanke på att konsekvenserna av att inte uppfylla kraven är så allvarliga: det handlar om böter upp till ett värde av 20 miljoner euro eller 4 % av den globala årsomsättningen.
Men frukta inte! Vi har skapat en snabbguide som innehåller de fem största utmaningarna som många företag möter när de startar en GDPR-kampanj, med råd om hur de bäst kan övervinna dem.
1. Skapa medvetenhet om GDPR i hela organisationen
Vårt råd: Få med dig nyckelpersoner och skapa en plan för medvetenhet.
Som det gamla ordspråket säger: Om man inte förbereder sig, förbereder man sig för att misslyckas. Se till att beslutsfattare och viktiga intressenter i din organisation är medvetna om att lagen håller på att förändras, och se till att de på högre nivå är införstådda. Det kommer att vara till stor nytta för er om ni har en verkställande sponsor vars uppgift blir att förespråka kampanjen och se till att den löper smidigt.
För att få igång ditt GDPR-projekt rekommenderar vi att du börjar med att titta på organisationens riskregister, om du har ett sådant. Om inte är det ett praktiskt verktyg att sammanställa när du börjar din GDPR-resa.
Kom ihåg att tiden är viktig. Börja så snart som möjligt för att undvika panik i sista minuten och använd följande år för att öka medvetenheten om de kommande förändringarna. Vår e-lärandekurs om GDPR är en bra utgångspunkt för att skapa medvetenhet bland dina anställda.
2. Utvärdering av nuvarande databehandlingsmetoder och anpassning av dessa för att uppfylla GDPR-förväntningarna.
Vårt råd: Börja med att identifiera och notera vilka personuppgifter du har, varifrån de kommer och vem du delar dem med. Dokumentera också alla åtgärder för efterlevnad som redan har vidtagits.
Vi rekommenderar att du gör en informationsrevision. Om du till exempel har felaktiga personuppgifter och har delat dem med en annan organisation måste du meddela den andra organisationen detta så att den kan ändra sina egna register. Därför är det viktigt att veta vilken information du har och i vilket syfte du använder den. Det är också viktigt att följa upp de ändringar du gör i alla databehandlingsaktiviteter för att uppnå GDPR-överensstämmelse. Genom att göra detta kan du bevisa att du uppfyller GDPR:s ansvarighetsprincip.
3. Utnämning av ett dataskyddsombud
Vårt råd: Bestäm om utnämningen av en dataskyddsombud är ett obligatoriskt eller önskvärt krav för din organisation. Helst bör någon identifieras som tar ansvar för efterlevnaden av dataskyddet med tanke på att risken för en överträdelse enligt GDPR medför så höga böter.
Bland de organisationer som behöver utse ett dataskyddsombud finns offentliga myndigheter och organisationer vars verksamhet innebär regelbunden och systematisk övervakning av registrerade personer i stor skala. Det är viktigt att se till att någon i din organisation, eller en extern dataskyddsrådgivare, tar det fulla ansvaret för din efterlevnad av dataskyddet. De viktigaste egenskaper som krävs för rollen är att ha kunskap, stöd och befogenheter för att hantera dataskyddet på ett effektivt sätt.
Det är också tillrådligt att utforma en kommunikationsram så snart du har utsett ditt dataskyddsombud. Detta bör identifiera vem som rapporterar till vem och var denna roll kommer att placeras i organisationens struktur för att undvika förvirring.
4. Införande av nya metoder för databehandling.
Vårt råd: Dokumentera och implementera nya riktlinjer och förfaranden för efterlevnad och utbilda ditt databehandlingsteam i enlighet med dessa nya åtgärder. Se över alla befintliga avtal och samtycken och uppdatera dem i enlighet med GDPR.
Dessa måste beakta viktiga förändringar, inklusive information om integritet, ökade individuella rättigheter, begäran om tillgång till information och samtycke.
Se över dina nuvarande sekretessmeddelanden och skapa en plan för att göra nödvändiga ändringar i tid för GDPR-implementeringen.
Kontrollera dina rutiner för att se till att de täcker alla de nya utökade rättigheter som individer har enligt GDPR, inklusive hur du raderar personuppgifter eller tillhandahåller uppgifter elektroniskt och i ett vanligt förekommande format.
Uppdatera dina rutiner och planera hur du ska hantera förfrågningar om tillgång till information inom den nya tidsfristen på en månad.
Se över hur du söker, får och registrerar samtycke och om du behöver göra några ändringar. Kom ihåg att dokumentera alla ändringar som görs. Tänk också på att GDPR också kommer att förändra hur personuppgifter som tillhör barn kommer att behandlas. Det är lämpligt att redan nu börja fundera på vilka system du kan införa för att verifiera individers ålder och för att samla in föräldrars eller vårdnadshavares samtycke till databehandlingsverksamhet.
5. Identifiera och förstå hur man hanterar ett dataintrång
Vårt råd: Ha tydliga rutiner för anmälan av dataintrång som gör det möjligt för dig att upptäcka och rapportera intrånget inom den nya tidsramen på 72 timmar.
Skapa ett internt register över dataintrång för att logga och spåra utredningar om eventuella intrång som inträffar. Det är också viktigt att bedöma vilka uppgifter du har som kräver anmälan om en överträdelse skulle inträffa.
Se till att dina partners och leverantörer är tydliga med sitt ansvar för att meddela dig om alla potentiella och bekräftade överträdelser i deras del.
Fortfarande överväldigad? Ingen panik! Det finns fortfarande tid att få ditt GDPR-program under kontroll. Varför inte ordna ett samtal med våra branschexperter och upptäcka de fördelar som vår nya produkt "MetaPrivacy" ger dig när du förbereder din organisation för GDPR-överensstämmelse. Vi har också två GDPR eLearning-kurser tillgängliga för att utbilda vår personal och hjälpa er GDPR-medvetenhetskampanj.
