15 steg: Så GDPR-säkrar du din organisation

Den nya europeiska Dataskyddsförordningen har kallats för den största it-omställningen på 20 år. För att undvika kostsamma viten ska allt vara på plats 25 maj.

Men många är inte redo: Enligt Dag Wetterberg, författare om en ny bok om GDPR, har 95 procent har inte ens inlett arbetet och kommer inte kunna möta de nya kraven.

Nedan följer en kortfattad checklista för hur du bör ta dig an arbetet och prioritera rätt.

Checklistan är tagen från Chefs populära webbkurs om GDPR – som på 90 minuter ger dig grundläggande förståelse kring vad de nya dataskyddsreglerna innebär i allmänhet, och för din verksamhet och affär i synnerhet. Läs mer om webbkursen här.

Förberedelser

1. Skaffa resurser
Du behöver mandat och en budget som är förankrad i både styrelse och ledningsgrupp.

2. Börja dokumentera
GDPR ställer stora krav på dokumentation och att du hela tiden kan visa hur du har fattar beslut om personuppgiftshantering. Börja därför dokumentera alla delar av arbetet, inte bara själva hanteringen utan även processen på vägen mot GDPR-överensstämmelse.

3. Samordna organisationen
GDPR är inte en enskild fråga för it, juridik, stab och så vidare. Hela organisationen ska med på tåget och någon behöver sitta i förarsätet och driva projektet framåt.

4. Utse ansvariga
Utse ett dataskyddsombud eller, om det inte är nödvändigt, en person som har organisations dataskydd som sitt särskilda ansvar. Utse även ansvariga för genomförandet inom respektive avdelning.

5. Kommunicera internt
Alla medarbetare bör få veta vad som sker i och med att GDPR införs, varför och förordningens konsekvenser.

Börja jobba

6. Läs på principerna för behandling. 
GDPR har sex grundläggande principer för hur personuppgiftsbehandling ska ske. Alla bör känna till dem och ha dem i åtanke i resten av processen.

7. Inventera personuppgifter
Vilka personuppgifter skapas, lagras och hanteras i verksamheten? Detta gäller även osorterade data som e-post och liknande eftersom GDPR till skillnad från PuL inte ger undantag för sådana.

8. Stäm av ändamålen
I vilka syften skapas uppgifter och hur lagras och hanteras personuppgifterna i databaser samt i osorterad form?

9. Kartlägg systemen
Var finns personuppgifterna lagrade? I interna system eller i molnet?

10. Avgör på vilka lagliga grunder uppgifter behandlas
Inga personuppgifter får lagras ”för att de kan vara bra att ha”. Du behöver en laglig grund för varje behandling. Vilken grund du väljer kan vara avgörande för möjligheten att göra det du vill och behöver med uppgifterna. Försök hitta en så stark och stabil grund som möjligt.

11. Ta det säkra före det osäkra: Gallra
I de fall du hittar personuppgifter som har samlats in på lösa grunder, till exempel mot samtycke men där du saknar dokumentation av lämnade samtycken, är det bästa du kan göra att bita i det sura äpplet och börja om. Sålla bort uppgifter som du inte kan visa att du lagrar på en laglig grund.

Utred och dubbelkolla

12. Kontrollera säkerheten
Högre krav ställs på it-säkerhet för lagrade personuppgifter. Utred om säkerhetslösningar behöver uppdateras eller bytas ut.

13. Granska avtal – partners, lagringsleverantörer, konsulter
Alla avtal behöver ses över så att inte personuppgifter lagras felaktigt eller behandlas på fel sätt. Ingen utomstående får behandla uppgifter du har ansvar för utan att skriftligt avtal.

14. Sätt upp nya rutiner
Personuppgifter som organisationen skapar och förfogar över kan behöva hanteras enligt nya rutiner under GDPR. Det gäller inte minst intern kommunikation och e-posthantering.

Ett hjälpmedel för att göra rutiner enklare att följa och snabbare att rulla ut är att ta fram checklistor för behandlingen av personuppgifter, i de olika situationer det förekommer.

Precis som för piloter är det många små detaljer som ska bli rätt och det är lättare att fokusera på den faktiska arbetsuppgiften om du inte behöver lägga så mycket hjärnkraft på dataskyddet.

15. Utbilda medarbetare
Ordna GDPR-kurser för de roller som kommer att hantera personuppgifter i organisationen.