GDPR Learning Hub

Menu
  • Kurser
  • Kunskap
  • Checklistor
  • Quiz
  • Mallar
  • Databas
  • Hemsidan är under konstruktion

GDPR

Organisatoriska åtgärder för att skydda personuppgifter

Företag måste vidta lämpliga organisatoriska åtgärder för att skydda personuppgifter som de behandlar. Det handlar till exempel om att stoppa obehörig åtkomst till personuppgifter, oavsiktlig radering av personuppgifter samt skydda verksamheten mot andra former av personuppgiftsincidenter. Ju viktigare personuppgifter företaget behandlar, desto bättre säkerhetsåtgärder kräver GDPR. 

Företag ska implementera organisatoriska åtgärder för att följa övriga regler i GDPR

Utöver att företag måste vidta organisatoriska säkerhetsåtgärder för att skydda personuppgifter, behöver företaget också vidta sådana åtgärder för att kunna följa övriga regler i GDPR. Till exempel för att kunna tillgodose de registrerades rättigheter enligt GDPR. Om en registrerad begär att få sina personuppgifter rättade eller raderade, behöver företaget kunna tillgodose detta. Därför är det viktigt att ha vidtagit de organisatoriska åtgärder som krävs. 

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Företag måste vidta organisatoriska åtgärder för att skydda personuppgifter

Nedan kan du läsa mer om några praktiska organisatoriska åtgärder som företag bör implementera.

Säkerhetskultur

Det är viktigt att företag skapar en god säkerhetskultur inom hela verksamheten. Det sker främst genom att vidta lämpliga organisatoriska säkerhetsåtgärder. Ett exempel på hur företag kan göra detta, är genom att tydligt förmedla vad som förväntas av medarbetarna. Företaget bör informera medarbetarna om rutinerna och policys som gäller inom dataskyddsområdet. Det underlättar medarbetarnas arbete i att rapportera fel eller brister. Dessutom är viktigt att alla medarbetare som behandlar personuppgifter i sina arbetsuppgifter har grundläggande kunskaper om dataskydd. 

Skapandet av en god säkerhetskultur inom företaget förutsätter att medarbetarna är informerade och medvetna om varför det är viktigt. Medarbetarna bör känna till vilka risker som finns inom dataskyddsområdet, och hur de ska agera om de upptäcker brister i säkerheten eller personuppgiftsincidenter.

Till exempel behöver vissa personuppgiftsincidenter bli anmälda till den ansvariga dataskyddsmyndigheten. Anmälningspliktiga incidenter ska rapporteras av företaget som är den personuppgiftsansvarige till behörig tillsynsmyndighet inom 72 timmar från och med upptäckten. För att kunna göra anmälan i tid, är det viktigt att företaget har en god säkerhetskultur, med en tydlig rapporteringsprocess. Det bidrar till att medarbetarna snabbare kan rapportera upptäckten inom företaget, så att företaget i sin tur kan vidta åtgärder snabbt. 

Behörighetsstyrning

Det är lämpligt, och i vissa fall nödvändigt, att företag som behandlar personuppgifter styr behörigheten kring vilka personer som har rätt till åtkomst. Syftet med detta är att tillse att inte samtliga anställda har åtkomsten till behandlade personuppgifter, när det inte är nödvändigt.  Framförallt bör företaget implementera sådan behörighetsstyrning när det gäller extra skyddsvärda personuppgifter, såsom känsliga personuppgifter enligt artikel 9 i GDPR. Genom behörighetsstyrning, kan företag förebygga att obehöriga får tillgång till personuppgifter. 

I många fall är det inte nödvändigt för alla personer på ett företag att ha tillgång till alla personuppgifter tillhörande medarbetare och/eller kunder för att kunna sköta sina arbetsuppgifter. Vid sådana fall bör de inte heller ha sådan åtkomst. 

Vidare är det viktigt att implementera interna rutiner och processer för att återkalla medarbetares åtkomsträttigheter, i samband med att anställningen eller om tillämpligt konsultuppdrag upphör.

Skriftliga instruktioner och interna rutiner

Genom att skapa olika skriftliga instruktioner och interna rutiner för medarbetarna, är det mindre risk att de råkar bryta mot GDPR i sina arbetsuppgifter. Dessutom är det bra att skapa instruktioner för till exempel hur medarbetare ska gå tillväga när en personuppgiftsincident inträffar. Detsamma gäller när en registrerad vill få en rättighet tillgodosedd. 

Genom att ha dokumenterade rutiner och instruktioner, kan medarbetarna smidigt följa den etablerade processen. Detta säkerställer en mer enhetlig hantering av ärenden och minskar risken för regelbrott. Dessutom är det fördelaktigt att även ta fram checklistor som medarbetare kan använda som stöd i sitt arbete. Exempelvis en checklista om viktiga moment att göra vid en upptäckt personuppgiftsincident.

Utbildning i dataskydd, inklusive GDPR

Det är viktigt att utbilda personalen inom dataskydd, inklusive GDPR. Företaget ansvarar för att se till att medarbetare följer GDPR i praktiken. För större företag med flera avdelningar, kan det vara bra att ha en ansvarig person på varje avdelning som blir som en kontaktperson gällande dataskyddsfrågor. Vid sådana fall är det bra om en sådan kontaktperson, även kallad för dataskyddsambassadör, får lämplig utbildning. 

Dessutom bör företag som har ett dataskyddsombud erbjuda ombudet möjlighet till vidareutbildning. Till exempel kurser som går igenom ny praxis på området eller nya lagar/förordningar som handlar om dataskydd, såsom AI-förordningen. 

Mer information om GDPR

Tekniska säkerhetsåtgärder

Utöver de organisatoriska säkerhetsåtgärderna företag behöver vidta, måste företag också vidta lämpliga tekniska säkerhetsåtgärder. Till exempel kan företag kryptera personuppgifter, säkerhetskopiera personuppgifter, dela upp datanätverk, även kallad för nätverkssegmentering och autentisering. 

Vill du lära dig mer?

Klicka här
Rulla till toppen