Organisatoriska åtgärder
Säkerhetskultur inom dataskydd och cybersäkerhet
Företag bör ha en stark säkerhetskultur inom dataskydd och cybersäkerhet för att skydda personuppgifter som de behandlar. En personuppgift är en uppgift som går att koppla till en fysisk levande person. Till exempel ett namn, personnummer, passnummer eller liknande. Dessutom skiljer GDPR på ”vanliga” personuppgifter och integritetskänsliga personuppgifter.
Personuppgiftsincidenter ska förebyggas genom tekniska och organisatoriska säkerhetsåtgärder
Företag ska förebygga personuppgiftsincidenter. Det ske genom att implementera lämpliga tekniska och organisatoriska säkerhetsåtgärder. Dessutom ska företag minimera konsekvenserna vid personuppgiftsincidenter, föra ett register över dem och i vissa fall informera de registrerade som blivit påverkade. Även den nationella dataskyddsmyndigheten ska bli informerad vid vissa typer av personuppgiftsincidenter.
Ett företag i Polen fick betala en sanktionsavgift eftersom företaget anmälde en personuppgiftsincident försent till den nationella dataskyddsmyndigheten. Anmälan ska ske av den personuppgiftsansvarige inom 72 timmar räknat från och med upptäckten.
Högre krav för viktiga personuppgifter
Ju viktigare personuppgifterna är, desto högre är kraven för företagen. Behandling av känsliga personuppgifter, som utgör en av fyra kategorier av integritetskänsliga personuppgifter, ställer väldigt höga krav.
Säkerhetskulturen inom ett företag
Innebörden av säkerhetskultur eller dataskyddskultur är gemensamma värderar, kunskap, attityd samt beteendet hos de som arbetar inom företaget, för att skapa säkerhet kring behandlingen av personuppgifter. Företag måste skydda personuppgifter genom att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder. Genom att ha en bra säkerhetskultur, kommer förmågan att skydda personuppgifter att öka. Säkerhetskulturen bör även omfatta cybersäkerhet och skydd av personuppgifter.
Exempel på vad företag kan göra för att skapa en stark och god säkerhetskultur
Ledningens roll
Ledningen har en viktig roll inom företaget för att se till att verksamheten följer GDPR. Därför är det bra att ha ett engagemang att arbeta med frågor om GDPR inom ledningen. Till exempel genom att kontinuerligt diskutera dataskydd under styrelsemöten och analysera förbättringsområden.
Utbildning
Företag behöver utbilda personalen, så att de kan följa GDPR i sitt praktiska arbete. Framförallt personal som arbetar med dataskydd. Om företaget har ett dataskyddsombud, ska de också erbjuda denne vidareutbildning inom GDPR. Genom att ha skriftliga anvisningar och rutiner, kan personalen enkelt läsa igenom vad de behöver göra för att följa regelverket, eftersom det finns en risk att de glömmer eller gör fel om de enbart får höra det muntligt.
Engagera fler
Det behöver inte bara vara de som arbetar med frågor inom dataskydd som kan ha nytta av kunskap inom området. Det är positivt om alla i företaget har tillgång till informationen kring säkerhetskulturen, så att de känner ett ansvar och kan bidra. Exempelvis är det bra att utbilda alla medarbetarna om vanliga cyberrisker, som kan leda till personuppgiftsincidenter. Exempelvis om phishing attacker, och hur det kan upptäckas.
Behörighetsstyrning
Det är viktigt att personal som har behov av att ha tillgång till personuppgifter har det, men inte andra medarbetare. Därför behöver företaget styra behörigheterna och kontrollera åtkomsträttigheterna till de system som behandlar personuppgifter. Till exempel behöver personal från ekonomiavdelningen tillgång till bland annat bokföringssystemet för att kunna utfärda fakturor till kunder. Däremot behöver inte alla medarbetare inom företaget nödvändigtvis sådana åtkomsträttigheter.
Rapporteringsprocess
Företag ska rapportera vissa typer av personuppgiftsincidenter till registrerade och den nationella dataskyddsmyndigheten. Däremot behöver personal som får reda på att en personuppgiftsincident har inträffat, rapportera det till rätt person internt. Därför är det viktigt att skapa en tydlig process för hur det ska gå till. Exempelvis kan det underlätta att ta fram en checklista som medarbetare ska använda om de misstänker en personuppgiftsincident. Dessutom är det viktigt att den interna kommunikationen är snabb och smidig, eftersom det finns tidsfrister företaget måsta följa när det gäller anmälningspliktiga personuppgiftsincidenter. konsekvenserna kan bli mycket värre ju längre tiden går och ju större dröjsmålet är.
Större företag kan ha dataskyddsambassadörer för att underlätta dataskyddsarbetet
Ju större företaget är, desto större är utmaningarna gällande intern kommunikation om dataskyddsrelaterade ärenden. Det är viktigt att företaget lcykas förmedla sina interna rutiner, policys etc. inom verksamheten på ett smidigt sätt, för att korrekt information når ut till medarbetarna. Dessutom är det viktigt att medarbetarna på ett smidigt sätt ska kunna kommunicera viktig information till bolagets ledning.
Något som kan underlätta detta kommunikationsflöde, är att utse dataskyddsambassadörer inom verksamhetens olika avdelningar. Dessa ambassadörer bör få extra utbildning i GDPR och dataskydd i allmänhet, och fungerar som en knutpunkt för kommunikation mellan ledningen och medarbetarna. På så sätt kan kommunikation inom området flöda enklare inom verksamheten.
Mer information om organisatoriska åtgärder
Interna rutiner och instruktioner till medarbetare
Genom att skapa skriftliga interna rutiner och instruktioner till medarbetarna minskar företaget risken att medarbetarna bryter mot GDPR när de utför sina arbetsuppgifter. Till exempel kan företag upprätta instruktioner för hur medarbetare ska gå tillväga när en registrerad begär att få en av sina rättigheter tillgodosedd. Det finns nämligen viktiga tidsfrister att följa enligt GDPR och innehållet i informationen till den registrerade måste uppfylla specifika minimikrav. Skriftlig dokumentation gör även att företaget enklare kan bevisa att det följer principen om ansvarsskyldighet enligt artikel 5.2 i GDPR.