Hur blir man redo för GDPR?

I många organisationer pågår nu febril GDPR-aktivitet. Eftersom förordningen är ny finns det inte något facit som säger hur allting ska göras. GDPR handlar icke desto mindre om att få ordning och kontroll över de personuppgifter som hanteras. Kartlägg, förändra och dokumentera kan arbetet sammanfattas med.

GDPR har inverkan på hela organisationen, därför är det också en ledningsfråga att se till att ett GDPR-projekt initieras med resurser i lämplig omfattning. Det krävs både teknisk och juridisk kompetens. Säljare och inköpare behöver involveras liksom HR-avdelningen, som hanterar den egna personalens persondata. Tillfällig resursförstärkning för kartläggningsarbete och dokumentation kan också behövas.

Initialt behövs ett gediget kartläggningsarbete för att bland annat identifiera vilka personuppgifter som hanteras, vem de tillhör, i vilka system de finns, till vem de skickas och hur länge de lagras. Därefter behöver man klargöra med vilken laglig grund personuppgifterna hanteras. Om det visar sig att laglig grund saknas måste hanteringen upphöra, eller så behöver samtycke inhämtas från de registrerade individerna.

Ligger det kvar gamla uppgifter i system och filer är detta ett bra tillfälle att rensa. Passa också på att ta fram nya rutiner för hur lagringstid och rensning ska hanteras framöver.

Säkerhetsnivåer och accessrättigheter till olika system behöver ses över och dokumenteras. Kravet på aktiva samtycken för viss behandling innebär att registreringsformulär och liknande måste designas om och avtalstexter gentemot kunder behöver uppdateras.

Nya rutiner och processer kommer att behövas för att hantera persondata framgent. Se till att få dessa på plats, och på pränt, så att ni kan visa hur ni arbetar. Glöm inte att den största säkerhetsrisken är människan. Se därför till till att alla anställda får kännedom om hur de ska utföra sitt arbete på ett säkert och lagligt sätt.

Omställningen till GDPR är hanterbar - kartlägg, förändra och dokumentera!