Rexel Dokumentförstörare

Relevanta dokument
Intelligent dokumentförstöring

SÅ FÖRBEREDER NI ER INFÖR DATASKYDDSLAGEN (GDPR)

NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG?

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Tegehalls revisionsbyrå och dataskyddsförordningen

DATASKYDDSMANUAL för Saferoad-gruppen

Dataskyddsförordningen

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Efterlevnadsförberedelse

Säkerhetspolicy rev. 0.1

GDPR dataskydd. vid Alandica Kultur & Kongress. (för personal, kunder och samarbetspartners)

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Policy för informations- säkerhet och personuppgiftshantering

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

Dataskyddsförordningen GDPR

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

När du deltar i en panelundersökning som vårt företag utför kan du känna dig säker på att eventuell personlig information stannar hos oss.

Topps integritetspolicy för mobilappen Match Attax. Senast uppdaterad: 24 september 2018

Dropbox resa mot GDPRefterlevnad

Integritetspolicy Torget Getupdated AB / Getupdated Sverige AB

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Tillägg om Zervants behandling av personuppgifter

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Global Invests dataskyddspolicy

Den nya dataskyddsförordningen - GDPR

GDPR NYA DATASKYDDSFÖRORDNINGEN

LRF Konsult AB, , är personuppgiftsansvarig för företagets behandling av personuppgifter.

Dataskyddsförordningen (GDPR): är du redo?

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Dataskyddsförordningen GDPR - General Data Protection Regulation

Behandling av personuppgifter vid Göteborgs universitet

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Information om dataskyddsförordningen

Göran Rydeberg, Stockholms universitet

GDPR. General Data Protection Regulation

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

GDPR-POLICY. Svenska Ponnytravförbundet - SPTF

vid Geritrim vård- och rehabiliteringsenhet

Behandling av personuppgifter deltagare

Integritetspolicy. Proinova AB/Proinova Agency AB. Org.nr: / Båda bolagen benämns gemensamt som Proinova i denna policy.

Dataskyddsförordningen

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Dataskyddspolicy CENTRO KAKEL OCH KLINKER AB

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

STOCKHOLMS FOTBOLLFÖRBUND

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Utgåva eller senaste revisionsdatum:

Riktlinjer för dataskydd

Policy för behandling av personuppgifter

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

GDPR EXTERN PERSONUPPGIFTSPOLICY

WHITE PAPER. Dataskyddsförordningen

POLICY FÖR PERSONUPPGIFTSHANTERING uppdaterad:

Dataskyddsmeddelande enligt Dataskyddsförordningen (GDPR)

Omfattning och syfte Denna policy gäller för Volvo Cars-koncernens (kallad Volvo Cars eller vi ) behandling av kunders personuppgifter.

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts [ååmmdd] mellan:

Policy för behandling av personuppgifter

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

GDPR (Dataskyddsförordningen) - Integritetsmeddelande för konsument. Datum för ikraftträdande: 25 maj, 2018

ABAs policy för behandling av personuppgifter

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Allmänna råd. Datainspektionen informerar. Nr 2/2016

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsförordningen 2018

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen 2018

Personuppgiftsbiträde

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

Lindesbergs kommuns arbete med dataskyddsförordningen

PuL och GDPR en översiktlig genomgång

Dataskydd SAMLAR DU LAGRAR DU ANVÄNDER DU UPPGIFTER? Vad är personuppgifter? Bättre regler för små företag. Januari 2017 SV

Personuppgiftsbiträdesavtal

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Policy för behandling av personuppgifter

Integritetsskyddsinformation leverantör

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Dataskyddspolicy. Carve Capital AB

1.2. Advokatfirman Carler är personuppgiftsansvarig för den behandling som utförs av Advokatfirman Carler i enlighet med denna personuppgiftspolicy.

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Integritetspolicy för givare

GDPR EXTERN PERSONUPPGIFTSPOLICY

Denna policy gäller för Fordonsmäklarna (kallad Fordonsmäklarna eller "vi") behandling av kunders personuppgifter.

PERSONUPPGIFTSBITRÄDESAVTAL

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Axholmen:s Integritetspolicy

WEBBPLATSENS KAK- OCH INTEGRITETSPOLICY BAKGRUND:

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

Transkript:

Rexel Dokumentförstörare Varför en säkerhetspolicy avseende papper är avgörande för GDPR-efterlevnad. Friskrivning Inget innehåll i detta dokument ska betraktas som juridisk rådgivning. Organisationer bör anlita juridiska rådgivare rörande efterlevnad av den allmänna dataskyddsförordningen eller andra tillämpliga lager eller förordningar.

Om detta dokument Denna vitbok ger en översikt över vad GDPR syftar till och vad det innebär för organisationer. Syftet med detta dokument är att ge en introduktion till EU:s allmänna dataskyddsförordning (GDPR) och hur den kommer att påverka olika verksamheter, så att du kan utveckla ett ramverk för den egna verksamhetens säkerhetspolicy avseende papper inför de förordningar som träder i kraft i maj 2018. Vad är GDPR? Den kräver att organisationer tillämpar sund säkerhetspraxis kring elektronik- och pappersbaserade data, och i händelse av dataintrång meddelar berörda eller potentiellt berörda personer. GDPR har en global räckvidd till alla organisationer som kontrollerar eller bearbetar identifierbara personuppgifter om personer inom EU, oberoende av var dessa organisationer finns rent geografiskt. GDPRkraven gäller både elektronik- och pappersbaserade personuppgifter och betyder att alla organisationer ska tillgodose GDPR-kraven om de hanterar identifierbara personuppgifter med ursprung inom EU. Även om elektronisk datasäkerhet har hög prioritet hos många organisationer så är det vanligt att man inte på ett adekvat sätt hanterar säkerheten kring pappersbaserade data. Faktum är att nästan två tredjedelar av kontoren medger att man inte strimlar konfidentiell information 1. Detta gör att organisationer riskerar att inte efterleva GDPR, och att registrerade personer riskerar att drabbas av bedrägeri och identitetsstöld. Rexel, ett ledande varumärke inom dokumentförstörare,uppmuntrar organisationer att granska sin säkerhetspolicy och praxisrelaterade till både pappersbaserad och elektronisk data.

DEN ALLMÄNNA DATASKYDDSFÖRORDNINGEN (GDPR) En översikt GDPR syftar till att skydda enskildas integritetsrättigheter i Europa, oavsett om det gäller EU-medborgare eller inte. Dessa integritetsrättigheter innefattar, men begränsas inte till: Transparens Rätten att få tydlig information om hur organisationer bearbetar personinformation. Medgivande Rätten att kontrollera hur organisationer använder personinformation. Säkerhet Rätten till information om hur organisationer på ett adekvat sätt skyddar personinformation. Begränsning av insamling och syfte Rätten att förvänta sig att organisationer minimerar insamling och användning av information. Avisering vid intrång Rätten till information vid ett dataintrång. GDPR ingår i den Europeiska kommissionens plan för att modernisera och harmonisera dataskyddsreglerna. Även om GDPR:s huvudsyfte är att stärka integritetsrättigheter online så adresserar den fortfarande pappersbaserad datasäkerhet. Fokus ligger på att bemöta de växande utmaningarna mot dataskydd och sekretess, exponering mot säkerhetsintrång, hackning och annan olaglig hantering.

DEN ALLMÄNNA DATASKYDDSFÖRORDNINGEN (GDPR) Vad har ändrats? Följande punkter identifierar de specifika områden inom GDPR som innebär nya rättigheter för enskilda personer eller att befintliga rättigheter under dataskyddslagen (Data Protection Act, DPA) har stärkts som en del av GDPR: Dataöverföring och rätten att bli bortglömd Enskilda personer har nu rätt att transportera sina personuppgifter från en organisation till nästa. Personuppgifter måste tillhandahållas i ett strukturerat maskinläsbart format. En person kan begära att personuppgifter raderas eller tas bort. Avisering vid dataintrång Alla intrång ska rapporteras till ansvarig myndighet. Även enskilda personer som påverkas av intrånget ska informeras. Inventering Lokala myndigheter behöver inte längre informeras om att personuppgifter bearbetas. Organisationer måste upprätthålla ett register över bearbetningsaktiviteter under deras ansvar. Konsekvensbedömningar avseende uppgiftsskydd (DPIA) och säkerhet DPIA:er är ett sätt att identifiera höga risker rörande enskildas integritetsrättigheter. Säkerhetskrav och -rekommendationer ska baseras på en riskbedömning. Dataförvaltning och ansvarighet Organisationer måste även kunna visa att GDPR efterlevs. Icke-efterlevnad av GDPR kan resultera i böter på upp till 20 miljoner Euro, eller 4 % av företagets globala intäkter, beroende på vilket belopp som är störst. Vidare har en registrerad person rätt att stämma en organisation inför domstol.

DEN ALLMÄNNA DATASKYDDSFÖRORDNINGEN (GDPR) Vem gäller det? Införandet av GDPR i maj 2018 kommer att påverka personer med följande befattningar: Registeransvariga anger hur och varför personuppgifter bearbetas Registerförare personer som agerar på ansvarigs vägnar Dessa två personer ansvarar för att säkerställa att deras klienter fullständigt efterlever alla aspekter inom GDPR för att undvika utkrävande av böter. En registerförare eller registeransvarig kan utse en dataskyddsansvarig och hålla register över alla bearbetningsaktiviteter som genomförs på klienters vägnar.

GDPR omfattar personuppgifter och känsliga personuppgifter i elektroniska och fysiska format Det är viktigt att tänka på vilka typer av data GDPR kommer att gälla, före utvecklande av en efterlevnadspolicy för organisationen. Data som omfattas av GDPR innefattar information om en identifierbar person. Bland exemplen på personuppgifter som faller under GDPR finns fullständigt namn, e-postadress och telefonnummer. GDPR tillämpar även extra skydd av en underkategori personuppgifter, som kallas känsliga personuppgifter. GDPR avser personuppgifter som hanteras av organisationer i både elektroniska och fysiska format, som t.ex. pappersdokument.

Dessa komponenter är: Ett företagsregelverk för GDPRefterlevnad Organisationer har tre huvudområden som måste granskas för att uppnå GDPR-efterlevnad. Genom att ta itu med dessa tre komponenter kan verksamheterna skapa tydliga ramverk för en datasäkerhetspolicy gällande varje aspekt, vilket underlättar efterlevnad på alla områden av GDPR. Personer Personalens delaktighet och ansvar för all data som de bearbetar inom organisationen är avgörande. En organisation måste ställa upp tydliga regler för varje enskild anställd för korrekt hantering av all elektronik- eller pappersbaserad data som finns inom verksamheten. Dessa föreskrifter gör att kraven i GDPR rörande hantering av alla data uppfylls i praktiken. Exempelvis kan du vilja införa tydliga regler kring användningen av pappersdokument med känslig information och processen för korrekt strimling av det använda dokumentet, baserat på känslighetsnivån hos dess uppgifter. Processer Detta rör processerna inom organisationen. Exempelvis att hantera användningen av data, såsom bearbetning eller lagring av kunddata. Det är avgörande att verksamheterna granskar alla sina aktuella datarelaterade processer. När brister och svagheter inom de befintliga procedurerna har identifierats måste en ramverksplan utformas av den verksamhet som vill stärka, eller vid behov ersätta, dessa områden så att GDPR efterlevs. Teknik Även nuvarande IT-kapaciteter och -krav ska granskas och justeras på lämpligt sätt före maj 2018. Det är de enskilda verksamheterna som ska säkerställa att befintliga system som inte till fullo stödjer förordningarna antingen förbättras eller ersätts, så att risken för böter kan undvikas när GDPR har trätt i kraft.

Varför är papperssäkerhet viktig? Vi har diskuterat vad GDPR kräver att verksamheter gör, och nu är det relevant att ta upp frågan om papperssäkerhet inom organisationer och varför det är en viktig fråga för verksamheter när de förbereder sig för att möta GDPR:s krav. Även om digitala hot står högt på en organisations dagordning, så vore det ett misstag att anta att pappersbaserade säkerhetsrisker inte längre finns. Faktum är att en PwC-rapport från 2014, tillsammans med registerhanteringsföretaget Iron Mountain 2 som undersökte hur europeiska företag i mellansegmentet uppfattade och hanterade sin informationsrisk visade att två tredjedelar av de svarande sade att riskhantering rörande pappersregister var topprioriterat.

Dokument utsätts fortfarande för många vanliga säkerhetsintrång Av 598 datasäkerhetsincidenter som noterades mellan juli och september 2016 av den brittiska tillsynsmyndigheten för dataskydd, Information Commissioner s Office (ICO): berodde 14 % på förlust eller stöld av dokument, ytterligare 19 % postades eller faxades till fel mottagare och 4 % berodde på att data förvarades på en osäker plats. Ytterligare 3 % berodde på osäker kassering av papper. Så trots en exponentiell ökning av digitala tekniker kunde 40 % av incidenterna hänföras till papper 3. 40 % av datasäkerhetsincidentera i Storbritannien gällde papper Data som lämnats på en osäker plats Data som postats/ s/faxats till fel mottagare Förlus ust/ t/stöld av dokument Osäker avfallshantering av dokument Registrerade incidenter rörande papperssäkerhet

Medvetenhet bland användarna är avgörande för att GDPR efterlevs Om vi kommer fram till att papperssäkerhet är fortsatt avgörande för informationssäkerhet, så är frågan: Vad kan organisationer göra åt detta? Rexel är specialiserat på att tillhandahålla dokumentförstörare till organisationer, med möjlighet att samarbeta direkt med organisationer som t.ex. Kensington, världsledande inom fysisk säkerhet för IT-hårdvara vid delning av konsumentinsikter, vilket gett oss värdefulla insikter i de behov, önskemål och utmaningar som organisationer ställs inför när de vill skydda sig själva och efterleva kraven i GDPR. Med denna kunskap ser vi två huvudsakliga orsaker till att man inte får till en effektiv hantering av dokumenthantering ute på företagen: Bristande medvetenhet Verksamheter bortser från betydelsen av papper på en alltmer digital arbetsplats och tar sig därför inte tid att bemöta de säkerhetsfrågor som kopplas till pappersdokument. Även om det finns en införd policy kan medvetenheten vara bristfällig om förordningen inte kommuniceras effektivt på alla verksamhetsnivåer. Enkel användning Tillgängligheten på lämpliga dokumentförstörare är avgörande för att en effektiv policy för dokumentstrimling ska lyckas. Alltför ofta förlitar sig organisationer eller kontor på ineffektiva manuella dokumentförstörare som inte uppfyller kraven, vilket gör att anställda inte kan strimla dokument effektivt och produktivt. När man har kartlagt de bakomliggande orsakerna till utebliven dokumenthantering är nästa steg att skapa en process.

Orsak #1 att GDPR inte efterlevs ENDAST 27 % Bristande medvetenhet Anställda utför i regel åtgärder som deras chefer tydligt markerar som prioriterade. Med tanke på detta kan ineffektivitet åtgärdas med en tydlig och bestämd policy för strimling av dokument. I undersökningen som PwC/Iron Mountain gjorde 2014 av europeiska företag i mellansegmentet 2 framgår att endast 40 % har tydliga riktlinjer för de anställda rörande intern lagring och lagring av fysiska dokument, och endast 27 % har företagspolicyer för säkerhet, lagring och lagring av konfidentiell information. Har företagspolicy för datalagring

Orsak #2 att GDPR inte efterlevs Enkel användning Ett annat vanligt skäl till att medarbetare inte efterlever kraven på dokumentstrimling är att uppgiften är svår och tidskrävande. Även om anställda har tillgång till dokumentförstörare är det inte alla som strimlar erforderliga dokument om det tar för lång tid eller är svårt att hantera. Föga förvånande vill ingen organisation investera i dokumentförstörare som deras anställda troligen inte använder på grund av dålig produktivitet eller barriärer mot enkel användning, så dessa frågor bör lösas för att säkerställa maximal användning. Öka de anställdas produktivitet med automatisk inmatningsteknik

Sammanfattning: Strimla i omgångar eller allt på en gång Dokumentförstörare med automatisk inmatning är en direkt reaktion på organisationernas behov av att uppmuntra anställda att efterleva kraven på papperssäkerhet. Vår forskning 4 visar att 53 % av anställda strimlar dokument i omgångar, varvid de bygger högar av flera dokument innan de tycker att det är värt besväret att gå till dokumentförstöraren. 14 min, 25 s manuellt 14 s med Rexel Auto+ dokumentförstörare Genom att låta anställda strimla högar av papper, kunde oberoende forskning visa att de kunde minska strimlingstiden med 98 % 5 och bli mer benägna att strimla mer frekvent. Tid för att strimla 500 ark

6 viktiga GDPR-punkter att ha i åtanke 1. Överväg att utse en dataskyddsansvarig Denne befattningshavare måste fullständigt uppfylla organisationens ansvar rörande GDPR och ha god förståelse för vilka data inom organisationen som räknas som personliga, var de förvaras, vem som har tillgång till dem, hur man upptäcker intrång när de sker och till vem sådana ska rapporteras. Den dataskyddsansvarige behöver inte vara en anställd du kan outsourca denna funktion. 2. Bedöm dina system Granska alla kontrakt, teknisk support, procedurer och verktyg som har att göra med bearbetning, hantering, lagring och radering av data så att du kan identifiera eventuella svagheter eller brister som kräver att förändringar görs. 3. Utveckla en strategi Konstruera en ny strategi som säkerställer att GDPR efterlevs till fullo. Denna strategi kan innefatta nya investeringar i teknik, revidering av personalprocedurer och ansvar för databearbetning samt skapande av nya roller inom organisationer. 4. Implementera en ny organisationspolicy Nästa steg mot GDPR-efterlevnad är att sätta planen i verket på alla nivåer inom organisationen. Investera i och introducera ny teknik och nya system som behövs på arbetsplatsen samt publicera en informativ guide till datahantering och -bearbetning. 5. Anställdas engagemang Presentera din nya efterlevnadspolicy avseende data för hela personalen; erbjud utbildning, information och vägledning så att de anställda är kunniga och medvetna om de förändringar som sker och deras ansvar för att säkerställa att företaget uppfyller kraven i GDPR. 6. Granska och förbättra Efter införandet av planen för GDPR-efterlevnad är det nu dags att granska och förbättra innan förordningarna träder i kraft. Identifiera alla erforderliga förbättringar långt före GDPR:s deadline, så att din organisation i maj 2018 redan effektivt har anpassats till förändringarna och efterlever kraven helt.

KÄLLOR 1 envirowaste.co.uk/blog/articles/third-companies-shred-private-documents 2 Gå vidare från goda intentioner: Behovet av att gå från intention till åtgärd för att hantera informationsrisk i mellansegmentet, PwC-rapport tillsammans med Iron Mountain, juni 2014. 3 ico.org.uk/action-weve-taken/data-security-incident-trends 4 Utvärdering av dokumentförstörare med automatisk inmatning. Förberedd för ACCO-märken av Deep Blue Insight 5 Oberoende provningar av Intertek Testing & Certification Ltd juni 2012. Maximal besparing när Auto+ 500X används i jämförelse med en dokumentförstörare med traditionell inmatning i liknande prisklass. Forskning visar att det tar i genomsnitt 14 minuter och 25 sekunder att manuellt mata in 500 pappersark i en vanlig, manuell dokumentförstörare, men bara 14 sekunder att ladda samma antal ark i en Auto+ 500X-dokumentförstörare.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss