Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

Transkript

1 Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

2 Hur kan vi förbereda oss? Skapa medvetande internt om de nya reglerna och den nya rollen informera och utbilda Ett projekt för att följa lagen behövs 1. Gör en nulägesanalys ( Gap analysis ) 2. Efterlevnadsprojekt Nya dataskyddsförordningen 2

3 Tips för ett lyckat efterlevnadsprojekt Budgetera och avsätt resurser noga Ha en intern projektledare och ev. även en inhyrd Lägg mycket tid i början på att identifiera rätt personer som ska delta i projektet Lägg stor vikt vid planeringsstadiet Starta med en utbildning eller workshop för alla i projektet Ha själv kontroll över projektet och inventeringen över data Ta extern hjälp med sådant som experter gjort förut och som tar lång tid för er, t.ex. mallar för avtal, information till registrerade och övriga juridiska dokument Nya dataskyddsförordningen 3

4 Olika typer av kompetens behövs Juridik IT Informationssäkerhet Kunskap om er kommun och just er nämnd Kunskap om hur bra rutiner och organisation implementeras 4

5 Juridisk genomgång Är behandlingen laglig, hur görs idag? Laglig grund/ändamål för den behandling som görs (register som finns)? Dokumentation över behandling, osv. Juridiska dokument/ policyer Personuppgiftsbiträdesavtal, information till registrerade (personuppgiftspolicy), eventuella samtyckestexter, interna policyer för behandling, dokumentation över konsekvensbedömning, dokumentation/avtal för överföring till tredje land, osv. Tekniska åtgärder Säkerhetskrav, inbyggd integritet (privacy by design), gallring, behörighetsstyrning, autentisering, osv. Organisation Dataskyddsombud, ansvar över system och rutiner, rapportordning, osv. Organisatoriska åtgärder rutiner Utelämnande av information, dokumentera samtycken, checklistor, register över behandling, rutiner för anmälan av personuppgiftsincident, konsekvensbedömning vid ny behandling, rutiner vid upphandlingar, osv Nya dataskyddsförordningen 5

6 Nulägesanalys ( Gap analysis ) Identifiera och mappa behandlingar och system Utgå gärna från registerförteckningens krav redan nu Undvik att mappa system endast, det är behandlingar som lagens krav utgår från Involvera alltid jurist innan ni påbörjar jobbet Identifiera och mappa tredjeparter, biträden, m.m. Mappa vilka legala enheter i kommunen som är personuppgiftsansvariga och biträden Vilka juridiska dokument, rutiner och samtycken finns idag? Identifiera brister och områden att hantera inför att förordningen träder i kraft Nya dataskyddsförordningen 6

7 Efterlevnadsprojekt Hur säkerställa ett effektivt efterlevnadssystem ( Data Protection Management System )? 1. Säkerställ att behandlingen är laglig 2. Sätt ansvar och organisation 3. Uppdatera juridiska dokument, avtal, samtycken och policyer 4. IT- och säkerhetsåtgärder 5. Organisatoriska åtgärder och rutiner accountability Nya dataskyddsförordningen 7

8 1. Säkerställ att behandlingen är laglig För varje behandling säkerställ laglig grund Säkerställ gallringsfrister Säkerställ att inte fler uppgifter behandlas än nödvändigt, osv. Policy och gallringspolicy Nya dataskyddsförordningen 8

9 2. Sätt ansvar och organisation Behöver vi ett dataskyddsombud? Vem är i så fall högst ansvarig? Olika kompetens informationssäkerhet, projektledning och juridik Ansvar över olika system/behandlingar Rapportordningar och arbetsbeskrivningar Övervakning av efterlevnad (internt/externt) Nya dataskyddsförordningen 9

10 3. Juridisk dokumentation/policyer (exempel) Personuppgiftsbiträdesavtal och ev. underbiträdesavtal Information till registrerade (personuppgiftspolicy) Samtyckestexter Mall och rutiner för konsekvensbedömning Ev. dokumentation/avtal för överföring till tredje land Rutiner och dokumentation för incidenthantering Rutiner inför upphandling Interna policyer för behandlingen, lagrings- och gallringsrutiner Nya dataskyddsförordningen 10

11 4. IT- och säkerhetsåtgärder (exempel) Radera data som inte ska finnas kvar Säkerhetskrav är de tillräckliga utifrån de krav som ställs i lag och med hänsyn till vilka uppgifter det rör sig om? Börja tillämpa inbyggd integritet (privacy by design) vid egen utveckling Tekniska rutiner för gallring, behörighetsstyrning, autentisering Tekniska rutiner för att undvika personuppgiftsincidenter Nya dataskyddsförordningen 11

12 5. Organisatoriska åtgärder och rutiner Utbildningsrutiner (och rutiner för att övervaka att utbildning genomförts) Utelämnande av information Dokumentationsrutiner Samtycken checklistor Register över behandling Rutiner för anmälan av personuppgiftsincident Konsekvensbedömning vid ny behandling Rutiner vid upphandlingar Contract management Sekretessavtal Med mera Nya dataskyddsförordningen 12

13 Agnes Hammarstrand / Partner / Advokat Mobil: Advokatfirman Delphi / Östra Hamngatan 29 / Göteborg / Sweden Telefon: + 46 (0) / Fax: +46 (0) / delphi.se Nya dataskyddsförordningen 13

14