Dataskydd berör alla verksamheter, oavsett vilken bransch ni verkar inom. Det är mycket lagar och regler att förhålla sig till samtidigt som det praktiska arbetet med dataskyddsfrågor behöver utföras. För att leva upp till lagkraven behöver dataskyddsarbetet bedrivas kontinuerligt med översyn, analyser och uppdateringar. Arbetet bör alltid ske löpande, inte som en punktinsats.
Läs också: Håll er registerförteckning uppdaterad
Tillsammans med erfarna experter inom dataskydd har vi på Visma Draftit tagit fram ett arbetssätt för att arbeta med dataskydd på ett strukturerat och genomtänkt sätt, med utgångspunkt i sex steg:
- Etablera en dataskyddsorganisation
- Inventera nuläget
- Skydda den personliga integriteten
- Inför åtgärder
- Säkra IT-miljön
- Förvalta arbetet
Förvaltning av dataskyddsarbetet ska ske löpande
När ni har kommit en bit med ert datataskyddsarbete enligt steg 1-5 är det dags att sätta en plan för hur det ska förvaltas löpande. Syftet med förvaltningen är att upprätthålla en god standard över tid där organisationen fortsätter följa lagar och regler och skyddar den personliga integriteten. Om lagstiftningen förändras behöver ni vara uppdaterade. Det kan också ske en förändring i er organisation, exempelvis ett nytt system, som kräver att ni gör uppdateringar. Förvaltningsfasen innebär också att steg 1-5 behöver upprepas och gås igenom på nytt vid förändringar. En välfungerande dataskyddskultur kräver också att dataskyddsombudet och andra ansvariga i organisationen tar del av löpande utbildning och information om dataskyddsfrågor.
Granska er egen verksamhet
För att dataskyddsarbetet ska bli en del av det dagliga arbetet och ständigt förbättras krävs rutiner för internkontroll. Ett sätt att göra detta på är med hjälp av ett årshjul där ni under olika perioder av året fokuserar på och ser över olika delar av dataskyddsarbetet. Med tydliga rutiner ser ni till att arbetet med GDPR blir en naturlig del av er vanliga verksamhet och inte heller blir ett störande moment som känns svårt och tidskrävande.
Kom ihåg att granska era biträden
Något som kan vara lätt att glömma bort är att även granska de personuppgiftsbiträden som er verksamhet har anlitat, exempelvis en leverantör av ett IT-system. Det är er skyldighet att se till att även de hanterar personuppgifter i enlighet med lagstiftningen och de avtal som finns. Vid behov kan ni anlita en extern revisor för en sådan granskning, men det kan också utföras av den personuppgiftsansvariga verksamheten själv.
Var beredd på extern granskning av hur ni behandlar personuppgifter
Integritetsskyddsmyndigheten (IMY) finns till för att ge stöd och råd i dataskyddsfrågor, men också för att se till att behandling av personuppgifter sköts korrekt. Om de väljer att öppna ett tillsynsärende har de rätt att få information om verksamheten genom att exempelvis ställa frågor, gå igenom IT-system och granska hur personuppgifter behandlas.
Läs också: Vår metod för ett systematiskt dataskyddsarbete
Ta hjälp av oss för att komma vidare
Med tjänsten Privacy as a Service får du den optimala kombinationen av verktyg, kompetens och metod för ett framgångsrikt resultat. Med hjälp av våra jurister inom GDPR och diplomerade dataskyddsombud får du stöttning och projektledning i hela arbetet - så att din organisation enklare kan följa lagen.
