GDPR Learning Hub

Menu
  • Köp kurser
  • Köp mallar
  • GDPR-quiz
  • Ladda ner guider
  • GDPR-kurserna är under konstruktion

Organisatoriska säkerhetsåtgärder

Kontinuitetsplan som organisatorisk säkerhetsåtgärd 

Det kan vara bra att upprätta en kontinuitetsplan som organisatorisk säkerhetsåtgärd, för att säkerställa att företaget kan fungera även om det uppstår en kris, internt eller externt. 

Fördelar med en kontinuitetsplan som organisatorisk säkerhetsåtgärd

  • Minskar risken för långvariga avbrott i verksamheten, vilket kan vara en stor ekonomisk fördel vid en eventuell fördel. 
  • Skapar trygghet både för medarbetarna på företaget samt de registrerade. 
  • Hjälper företaget att leva upp till lagkrav. 
  • Kan minska eventuella konsekvenser som uppstår vid en cyberattack, allvarlig störning eller någon annan typ av kris.

Vad är en kontinuitetsplan?

En kontinuitetsplan är en plan för hur ett företag ska agera om en oväntad kris inträffar. Målet är att krisen inte ska leda till att företaget inte kan fortsätta arbetet i sin verksamhet. Detsamma gäller vid större kriser. Att upprätta en kontinuitetsplan är en bra organisatorisk säkerhetsåtgärd som företag kan vidta för att följa reglerna i GDPR och minska konsekvenserna vid en eventuell kris. 

What breaches of the GDPR can lead to an administrative fine?

Frågor som bör inkluderas i en kontinuitetsplan

  • Vad ska medarbetarna göra om IT-systemen inte längre är tillgängliga? 
  • Kan medarbetarna fortsätta arbeta trots att det inte går att använda kontoret? 
  • Vem ansvarar för vad vid en eventuell kris?
  • Vilka är de viktigaste processerna för att företaget ska kunna fortsätta sitt arbete? 
  • Hur informeras medarbetarna och andra lämpliga externa parter om den inträffade krisen?
  • Hur ska medarbetarna fortsätta att behandla personuppgifter på ett korrekt sätt under en pågående kris?

Hur kan en kontinuitetsplan hjälpa företag efterleva GDPR

Kontinuitetsplan som organisatorisk säkerhetsåtgärd kan hjälpa företag att efterleva flera centrala skyldigheter enligt GDPR, samt att visa att företaget följer regelverket enligt principen om ansvarsskyldighet i artikel 5(2) i GDPR. Bland annat kräver GDPR att personuppgifter är tillgängliga och möjliga att återställa vid eventuella personuppgiftsincidenter. Artikel 32 i GDPR handlar om säkerhet i behandling samt förmåga att säkerställa fortlöpande integritet, konfidentialitet, tillgänglighet och motståndskraft. En kontinuitetsplan bidrar till att säkerställa att företaget har säkerhetskopior som kan återställas inom rimlig tid. 

Dessutom bör kontinuitetsplanen identifiera kritiska processer och sårbarheter, samt förebyggande åtgärder för att minska riskerna för oavsiktlig radering, obehörig åtkomst eller dataförlust. Det kan därmed komplettera riskanalyser och konsekvensbedömningar avseende dataskydd (DPIA) (Artikel 35 i GDPR). Vidare säkerställer en god kontinuitetsplan att registrerades rättigheter enligt artiklarna 12-22 i GDPR  kan tillgodoses även under en kris.

Steg som företag bör genomföra och dokumentera i en kontinuitetsplan

Identifiera kritiska processer

För att kunna upprätta en effektiv kontinuitetsplan är det viktigt att först identifiera olika kritiska processer och personuppgiftsbehandlingar som är nödvändiga för företaget. Till exempel kritiska IT-system, ekonomisystem, HR-processer, vilka verktyg som företaget använder för kommunikation, betalningsmetoder m.m. Företaget behöver bland annat kartlägga de nödvändiga systemen, processerna som behöver fungera för att kunna fortsätta verksamhetsdriften, de resurser som företaget behöver för arbetets utförande, personuppgifter som är kritiska att behandla etc. Det är också bra att kartlägga ungefär hur länge företagets verksamhet kan vara helt respektive delvis ur drift, innan det uppstår allvarliga konsekvenser.

What is the definition of anonymised data?

Risker

Efter att företaget har identifierat nödvändiga processer och behandlingar, bör företaget analysera riskerna och hur kontinuitetsplanen ska förebygga eller minimera dem.

Tekniska incidenter

Till exempel en systemkrasch, avbrott i nätverket eller backup-filer som har slutat fungera.

Organisatoriska incidenter

Exempelvis när viktiga personer på företaget slutar att arbeta för bolaget, leverantörer inte levererar enligt avtal, ovanligt stor personalbrist på grund av sjukdomsspridning eller liknande.

Cyberattacker

Till exempel om hackare gör intrång i företagets databas, kräver ransomware eller liknande.

Fysiska incidenter

Exempelvis vid brand, översvämning, strömavbrott eller liknande på kontoret.

Sensitive personal data according to GDPR

Roller och ansvar

För att kunna hantera en kris så effektivt som möjligt, är det bra att ha tydliga roller och ansvar som är förutbestämda och allokerade på förhand. Om detta saknas, utför det en stor risk för att det blir kaotiskt vid en eventuell kris. Exempel på vad företaget bör definiera i en kontinuitetsplan:

Ledare för krisen.

Ansvariga för IT.

Vem som ska dokumentera händelseförlopp, vidtagna åtgärder etc.

Vem som sköter kontakten med externa parter, såsom registrerade och berörda myndigheter.

Den som ska kontakta och sköta kommunikationen med eventuella personuppgiftsbiträden, leverantörer etc.

Subjektivt integritetskänsliga personuppgifter

Kommunikationsplan

God och tydlig kommunikation är oerhört viktigt inom ett företag, särskilt under en pågående kris. Därför är det bra att ha en tydlig plan för intern kommunikation vid behov. Till exempel kan den reglera hur alla medarbetare ska få information om det inträffade, hur registrerade ska informeras om deras personuppgifter har blivit påverkade av det inträffade, om och när företaget ska rapportera till den nationella dataskyddsmyndigheten, vilka alternativa kommunikationskanaler som företaget kan använda om det ordinarie inte går att använda m.m

Measures that companies need to take to comply with GDPR

Alternativa arbetssätt

För att kunna fortsätta arbetet under en pågående kris behöver företaget ha alternativa arbetssätt. Ofta handlar det om att arbeta manuellt eller med nödlösningar. Till exempel bör kontinuitetsplanen inkludera svar på följande frågor.

Hur får medarbetarna tillgång till nödvändiga dokument som de behöver för att kunna utföra sina arbetsuppgifter?

På vilket sätt sker lagringen av personuppgifterna utan att säkerheten kompromissas?

Hur sker hanteringen av kundärenden om företagets it-system inte fungerar?

Hur kan företaget sköta fakturering, lönehantering, arbetsordrar och andra ekonomiska kritiska delar av ett företag?

What is the definition of anonymised data?

Återgång

Ju snabbare ett företag återgår till ett normalläge efter en kris, desto bättre. Det är därför bra att definiera hur det ska ske, och ofta sker det stegvis. Till exempel genom att:

Återstarta de olika systemen.

Överföra det manuella arbetet tillbaka till systemen.

Analysera vilka skador som uppstått. Exempelvis personuppgiftsindidenter. Kom ihåg att rapportera personuppgiftsincidenter till de registrerade och/eller lämpliga myndigheter om det krävs.

Det är dessutom bra att dokumentera hela processen för att kunna visa efterlevnad av GDPR samt kunna förbättra det inför en ny eventuell kris.

Testa och uppdatera

Det är viktigt att testa en kontinuitetsplan för att veta om den fungerar eller inte, innan en riktig kris uppstår. Företag bör exempelvis testa simulerade avbrott och att arbeta enligt kontinuitetsplanen och en katastrofåterställningsplan för att se om det fungerar i praktiken.

Mer info

En plan för återställning vid katastrof kompletterar en kontinuitetsplan

Enkelt sagt fungerar en katastrofåterställningsplan som den tekniska delen av företagets kontinuitetsplan. Det är bra för företag att upprätta båda dessa dokument. En kontinuitetsplan beskriver hur företaget ska agera vid en kris, medan en katastrofåterställningsplan beskriver hur medarbetarna ska återställa IT-infrastrukturen och behandlingen av personuppgifter efter en katastrof eller kris. En katastrofåterställningsplan brukar vara mer detaljerad än en kontinuitetsplan. 

Vill du lära dig mer?

Klicka här
Rulla till toppen