Hur klarar du maktskiftet?

Relevanta dokument
Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Information om dataskyddsförordningen

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Handlingsplan för persondataskydd

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Integritetspolicy Torget Getupdated AB / Getupdated Sverige AB

Dataskyddsförordningen 2018

Dataskyddsförordningen 2018

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Kartlägg, registrera & administrera behandling av personuppgifter

GDPR UTBILDNINGSDAG SKKF

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

GDPR. Dataskyddsförordningen 27 april Emil Lechner

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

SÅ FÖRBEREDER NI ER INFÖR DATASKYDDSLAGEN (GDPR)

Med "Personuppgifter" avses all information som direkt eller indirekt kan kopplas till en idag levande fysisk person.

Översikt av GDPR och förberedelser inför 25/5-2018

PwC Digital Trust Introduktion till GDPR. GRC-dagarna oktober 2017

GDPR NYA DATASKYDDSFÖRORDNINGEN

Acando Simplifying GDPR. ACANDO CAPABLE BUSINESS GDPR Från ord till handling

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Informationsblad om vissa juridiska aspekter på systematisk uppföljning i socialtjänsten och EU:s dataskyddsförordning

Denna integritetspolicy ( Integritetspolicyn ) har tre syften:

Riktlinjer för personuppgiftshantering

GDPR ur verksamhetsperspektiv

Dataskyddspolicy. Parter och ansvar för behandlingen av dina personuppgifter. 1. Vilken information samlar vi in?

Nordic Waterproofings AB Integritetspolicy 1 Inledning Vilka personuppgifter samlar vi in om dig och varför?... 2

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

GDPR Presentation Agenda

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Ny dataskyddslagstiftning i Europa. Agnes Andersson Hammarstrand

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

GDPR. General Data Protection Regulation. EU:s nya dataskyddsförordning Träder i kraft

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Art Projekt AB Integritetspolicy

Behandling av personuppgifter GDPR. Ny dataskyddsförordning

GDPR-SKOLAN, DEL 3 1/8 TOYOTA MATERIAL HANDLINGS. GDPR-skola

NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG?

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Implantatinf JL AB:s DATASKYDDSPOLICY

Integritetspolicy för personuppgiftshantering

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Nice to have - need to have

Lathund Personuppgiftslagen (PuL)

Integritetspolicy Expressa Utbildningscenter

INTEGRITETSPOLICY ADCARE NORDIC GROUP

GDPR (General Data Protecting Regulation)

Salinity är personuppgiftsansvarig för behandlingen av personuppgifter inom verksamheten samt på denna och andra webbplatser som drivs av Salinity.

E-strategi för Strömstads kommun

Effektgruppen AB ( ) med adress Trafikgatan 52, Sundsvall/ Sverige bedriver verksamhet i huvudsak Sverige och inom EU/EES.

DATASKYDD (GDPR) Del 4: Kärnverksamheterna

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

Att hantera personuppgifter

GDPR och hantering av personuppgifter

Ett verktyg för att utvärdera & åtgärda regelefterlevnad av GDPR

Topps integritetspolicy för mobilappen Match Attax. Senast uppdaterad: 24 september 2018

Datarutin GDPR. Litterära Konsulters dataskyddspolicy

INTEGRITETSPOLICY Så här behandlar vi personuppgifter

Dataskyddsförordningen

Får stärkta möjligheter att ta del av dina personuppgifter och att, under vissa förutsättningar, få dem rättade eller raderade

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

GDPR General data protection regulation Dataskyddsförordningen

DIGITALA VERKTYG I SKOLAN

En virtuell expert som hjälper dig med dataskyddsjuridik

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

Farsta stadsdelsnämnd är personuppgiftsansvarig för behandlingen av personuppgifter inom nämndens verksamheter.

Afrikagruppernas Integritetspolicy hur vi behandlar dina personuppgifter För beslut av styrelsen juni 2018

Integritetspolicy. Med anledning av ny lagstiftning den 25/ GDPR. General Data Protection Regulation

Integritetspolicy. Proinova AB/Proinova Agency AB. Org.nr: / Båda bolagen benämns gemensamt som Proinova i denna policy.

Denna informationstext förklarar hur Bad & Fritid AB hanterar dina personuppgifter och vilka rättigheter du har. Informationen vänder sig till dig som

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

8. Vad innebär den nya dataskyddsförordningen för er? Kunskapsdagen Malmö 21 november 2017

Med Personuppgifter avses all information som direkt eller indirekt kan kopplas till en idag levande fysisk person.

Med Personuppgifter avses all information som direkt eller indirekt kan kopplas till en idag levande fysisk person.

Sekretesspolicy för Haeger & Partner Recruitment and Outsourcing AB

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Om du har några frågor eller funderingar är du varmt välkommen att kontakta oss på

GDPR viktiga nyheter jämfört med PuL

Behandling av personuppgifter innefattar all hantering av personuppgifter såsom insamling, registrering och lagring.

Integritetspolicy 1. mynanny tar din integritet på största allvar

Dataskyddsförordningen

Vi har här sammanställt hur vi samlar in och hanterar dina personuppgifter i enlighet med Dataskyddsförordningen (GDPR).

Lindesbergs kommuns arbete med dataskyddsförordningen

NYA DATASKYDDSFÖRORDNINGEN

Novare Executive Search - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

Lathund Dataskydd för krögare

Integritetspolicy Behandling av personuppgifter

Integritetspolicy 1. SmartStudies tar din integritet på största allvar

INTEGRITETSPOLICY. Syfte. Bakgrund. Vilka uppgifter behandlar vi och varför? REAR AB:s behandling av personuppgifter

Sensus dataskyddspolicy

Integritetsskydd - igår, idag, imorgon. Professor Cecilia Magnusson Sjöberg

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Transkript:

Hur klarar du maktskiftet? GDPR 25 maj 2018 1 2 3 4 5 Fem steg för att framgångsrikt följa GDPR

Tydligt maktskifte Den nya lagen medför ett maktskifte vad gäller rättigheten till hanteringen av personuppgifter om oss som enskilda medborgare. Den nya lagen kommer att ge konsumenter och arbetstagare fulla rättigheter över sina personuppgifter, vilket ger människor möjlighet att kika djupt in i system och processer och ta reda på hur andra lagrar, använder och delar personuppgifter. För tänk ett ögonblick, om det är DU som är registrerad (the data subject). När du köper produkter online eller genomför transaktioner med organisationer vi litar på, förväntar du dig att uppgifterna om dig hanteras säkert och korrekt. Vad denna lag gör är att hjälpa alla dessa organisationer till best practices och de som inte följer lagen kommer att få stränga straff. I vårt digitala och uppkopplade samhälle kommer GDPR i praktiken betyda: Privacy by Design och sekretess som standard. Att det är en centrala del i lagen är viktigt för alla att förstå för att framgångsrikt lyckas med GDPR. GDPR 25 maj 2018 Tänk på att personuppgifter är som att låna en värdefull sak från en vän. Det är aldrig ditt, det är ett lån. Din vän kan kräva att få det tillbaka när som helst och om du vill ge det till någon annan behöver din vän godkänna det. GDPR i praktiken innebär: Privacy by Design och sekretess som standard ( 25) terna under hela livscykeln i applikationer, e-postsystem eller processutveckling. Sekretess (privacy by default) som standard betyder helt enkelt att de strängaste sekretessinställningar skall tillämpas automatiskt när en kund köper en ny produkt eller tjänst. Med andra ord skall ingen manuell ändring av sekretessinställningar krävas av användaren. Det finns också specificerat i den här principen hur länge information får sparas, personlig information får som standard endast bevaras under den tid som krävs för att tillhandahålla en specifik produkt eller tjänst. Varför du behöver den här guiden Den här folder går att vika upp som en affisch med en guide för en process i fem steg för att kartlägga och synliggöra det ni behöver göra för att följa GDPR. Att förbereda sig för GDPR är något positivt, det skapar fokus på varför och hur man hanterar sina kunder och deras personuppgifter. En insikt som skapar affärsfördelar. GDPR är på allvar och innebär samordnade aktiviteter genom hela organisationen. Steg ett handlar om att alla nyckelpersoner i organisationen behöver insikt om vad som kommer att förändras med de nya kraven. I steg två arbetar ni med olika scenarior för att sortera dem i olika prioriteringar. Steg tre innebär att ställa krav på alla underleverantören och sammanställa en plan över alla åtgärder som behöver göras. I steg fyra genomför ni alla förändring- Målet: certifierade appar och tjänster Vid sidan av strategisk organisatorisk omvandling, kommer företagen behöva certifiera sina tjänster och använda verktyg som byggs från grunden att införliva principerna om dataskydd genom Privacy by Design. Flexibla lösningar kommer att krävas för att möjliggöra för företag att utvecklas och anpassas. Det finns redan idag exempel på tjänster och appar som följer GDPR och är utvecklade enligt principen Privacy by Design. All känslig data lagras i en säker molntjänst (SecureAppbox). Målet är att skydda individer och deras personuppgifter samt skapa nya affärsmöjligheter. Genom att fokusera på möjlig- ar, dokumenterar era riktlinjer och ser till att alla nyckelpersoner är informerade. I steg fem går ni i mål och säkrar att det nya beteendet vidmakthålls när er verksamhet utvecklas och effektiviseras i framtiden. Privacy by Design innebär att varje tjänst eller affärsprocess som använder sig av personuppgifter måste ta i beaktande att skydda dessa uppgifter. En organisation måste kunna visa att de har säkerhetssystem på plats och att efterlevnaden kontrolleras. Detta innebär i praktiken att en IT-avdelning måste skydda personuppgifheterna och visa hur man skapar konkurrensfördelar med webtjänster och mobila applikationer så hanterar man utmaningen framgångsrikt. IMR Pro som stödjer behandlare inom psykiatrin och FamijehemSverige.se som rekryterar familjehem till kommuner är två exempel på applikationer som skyddar individen och uppfyller kraven från GDPR.

Engagera ledningen, nyckelpersoner och medarbetare Att skydda individers information ligger i allas intresse, det kommer att vara en stor konkurrensfördel att intyga det efter den 25 maj 2018. För att bli framgångsrik behöver ni se vilka strategiska möjligheter GDPR ger er. Ledningen och medarbetare som arbetar med personuppgifter behöver förstå vilken förändring som är på gång och varför det här är bra för oss som företag. 1 Starta GDPR innebär ett maktskifte där individen stärks. Forma gruppen Vilka personer i er organisation hanterar personuppgifter? Det gäller allt från ansvariga för CRM-system till de som har lokala excelfiler på en enskild dator. Forma gruppen som ska genomföra processen att uppfylla GDPR. Sprid kunskapen till viktiga delar i organisationen. Säkra att alla vet Vet alla hos er vad en personuppgift är? Allting som kan kopplas till en individ är det en personuppgift. Det gäller namn, adress, e-post, personnummer, platsinformation, löneuppgifter, bankuppgifter, foto, hälsoinformation, facklig tillhörighet, uppdateringar i sociala medier, en mobils IMEM-nummer och liknande. Företag kan aldrig äga andras personuppgifter En strategisk möjlighet Tre sanningar ni behöver förstå för att fortsätta, vad innebär det för er? Som företag ska vi skydda andras personuppgifter Genom att i god till se till att ni följer GDPR kommer ni att kunna kommunicera utåt att ni skyddar alla personer som berörs av er verksamhet, vare sig det rör sig om kunder, anställda, konsumenter, invånare, medlemmar, patienter, kontoinnehavare eller användare.

2 Höj temperaturen Kartlägg var och hur personuppgifter hanteras Vilka personuppgifter hanterar ni? Strukturerad material/data: Vad finns i era interna IT-system, ärende- och dokumenthanteringssystem? Vilka personuppgifter hanteras i sälj/marknadssystem i molnet? Kokhett eller iskallt? Ta tempen på er! Ta ställning till de påståenden som finns på andra sidan vid termometern. Vilka stämmer för er? Skapa fler påståenden utifrån er kartläggning och placera dem på någon av de tre zoner som finns på baksidan av detta blad. Använd era exempel. Ta ett system eller scenario i taget och ställ frågor. OBS! En betydelsefull förändring med GDPR är att den s k missbruksregeln tas bort. Den regeln undantog hantering av personuppgifter i ostrukturerad data, d v s löpande text i dokument, e-post, webbplatser och chatt. Det här får stora konsekvenser för svenska företag som idag följer PUL. Ostrukturerat material/data: Vad har era medarbetare lokalt på deras datorer eller telefoner? Vad finns i Word och Excel-dokument? Vad finns i ert e-postsystem? Vad i supportchatten på webben? Vad finns på papper? Allt behöver räknas in, även var systemen finns geografiskt. Diskutera med nyckelpersoner i organisationen och dokumentera allt ni hittar. Dokumentera även olika beteenden som kan finnas i organisationen, t ex Skickar personuppgifter med e-post och liknande. Kokhett: Alla system och processer som hanterar personuppgifter. Rutiner och riktlinjer som behöver förändras. Beteenden där personuppgifter hanteras felaktigt (den mänskliga faktorn). Iskallt: System och processer som inte hanterar personuppgifter. Ljummet: Det som hamnar mellan Kokhett och Iskallt i diskussionerna placerar ni på ljummet. Se om det går att gruppera de påståenden som hamnat på Kokhett och sätt övergripande rubriker. Gruppera de som hänger ihop och handlar om samma sak. Kolla igenom ljummet och ta med det som passar in i någon av grupperna. Data controller Den fysiska eller juridiska personen, den myndighet, den institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Data processor Den fysiska eller juridiska person, den myndighet, den institution eller annat organ som behandlar personupp-gifter på uppdrag av Data Controller.

Alla system behöver ett nytt aktivt samtycke 3 Ta kontroll Lista allt som behöver göras och ta hjälp utifrån Använd de olika påståenden och befintliga system från Kokhett och nedåt. Ta ett i taget och diskutera Vad behöver vi göra för att skydda individen enligt GDPR?. Skapa en komplett lista över allt som behöver åtgärdas. Välj hur ni vill dela in listan i olika grupper, till exempel ansvariga, typ av system eller intressenter. Vad behöver åtgärdas? Vilka applikationer eller tjänster behöver certifieras? Vilka rutiner behöver kompletteras? Vilka behöver informeras eller utbildas? AGERA Säkra alla tjänster och leverantörer Du behöver begära underlag från era IT-underleverantörer hur de behandlar personuppgifter och hur de kommer att stödja GDPR (så detaljerat som möjligt). Underlagen skall helst vara verifierade av tredje part exempelvis, certifieringar/seal eller audit-kontroller på de delar av systemen som hanterar era personuppgifter. Lita inte på någon extern leverantör utan underlag eller bevis. Det gäller även när de omfattas av biträdesavtal. Se upp för friskrivningar. De här kan hjälpa dig med olika tjänster eller verktyg: Advokater med inriktning på GDPR-lagen. IT-experter med privacy och säkerhets inriktning. Leverantörer av färdiga lösningar anpassade för GDPR INVENTERA Informationsflöden Integritetspolicy Integritetsrisk ANPASSA Identifiera möjligheter/brister och hur det ska anpassas för att följa GDPR och Privacy by Design. Krav på interna IT-system och produktansvariga. Krav på externa IT-leverantörer. Krav på moln/mobiltjänster och dess leverantörer. Acceptera inga friskrivningar.

4 Håll farten Vem ska göra vad? Utgå från listan som skapades i steg 3. Fördela uppgifter, prioritera och sätt tidplan på när det ska vara utfört. Vad ska prioriteras? Vem är ansvarig? När ska det vara klart? Hur ska det dokumenteras? Vilket beteende behöver ändras? Eftersom vi nu lånar informationen från våra kunder, partners och anställda så krävs det att leverantörer, processer och anställda förstår och stöder detta. Det innebär ett annat beteende och gamla rutiner behöver göras om. Vad behöver förändras hos er? Mål Ansvariga Tidplan Vem gör vad? Nya system utvecklas med inbyggd integritet Alla nya rutiner och IT-system behöver vara byggda från grunden att införliva principerna om dataskydd och integritet genom design (Privacy by Design). Hur ska ni säkra att det görs och efterlevs? Vad behöver er omvärld veta? Alla era intressenter behöver veta att ni jobbar med det här och anpassar era system så att persondata skyddas. Hur ska ni säkra att de personer som ni lånar information från, vet om att ni skyddar deras uppgifter? Var proaktiv för risker Även om säkra tekniska lösningar kan bidra till att minska risken för externa skadliga hot, kommer det inte att skydda mot den mänskliga faktorn. Vilka risker är relevanta för er?

5 Gå i mål Om du genomfört steg 1 4 har du anpassat ert sätt att hantera personuppgifter till GDPR. Ni tillhör nu de goda företagen som skyddar och bryr sig om individens rättigheter. Alla ansvariga hos er: har kontroll på hantering av personuppgifter vet hur den behandlas lagras och säkras och har dokumentation på det. Alla medarbetare vet: att vi lånar alla personuppgifter, och vi hanterar dem därefter. att skydda våra kunder och deras information är en central del i vår verksamhet. Nu startar någonting nytt Genom att ni nu har skapat förståelse i er organisation för den nya lagen samt infört regler och principer som skyddar personuppgifter så har ni hanterat maktskiftet på rätt sätt och kan se fram emot nya utmaningar i nästa digitala utvecklingsfas. 25 May 2018 Färdig? Nu har ni nått ett viktigt mål och anpassat de viktigaste lösningar till privacy by design och sekretess som standard, därmed säkrar ni att det nya beteendet vidmakthålls när er verksamhet effekti-viseras. Det här innebär starten på en ny era där ni hanterar och skyddar lånet av information och har alla möjligheter att utveckla er verksamhet i vårt digitala och uppkopplade samhälle.

KOKHETT LJUMMET ISKALLT Vårt CRM-system har en inbyggd e-postfunktion för distribution av kundlistor. Personalavdelningen använder Excel för hantering av personalgrupper och distribuerar dessa via e-post. Vår produktionssystem innehåller bara uppgifter om artiklar och produktionsdata. Vår marknadsavdelning tar ut kunddata ur vårt ordersystem och via Excel hanterar deltagare vid kundevent. Vi har outsourcat vårt CRM-system till extern leverantör. Vi behöver ett system för att ta bort personuppgifter i sparade back-up-versioner. Vårt ekonomisystem innehåller inga personuppgifter.

Fem steg för att framgångsrikt följa GDPR Alla företag och organisationer behöver innan 25 maj 2018 kontrollera och säkerställa att man följer den nya dataskyddslagen från EU General Data Protection Regulation (GDPR). Den ersätter lokala föreskrifter (som PuL i Sverige) men med den stora skillnaden att det är omvänd bevisföring. Nu MÅSTE alla kunna visa att man följer lagen. Så det är dags att vidta åtgärder, därför har vi som redan gjort det tagit fram den här guiden. När lagen träder i kraft, kommer det att omfatta alla personuppgifter som samlas in idag och framåt, men också all data som redan finns i befintliga system. Det är därför den här guiden är uppbyggd i olika steg och enkla processer så man får kontroll på var den finns och behandlas inom organisation. Att förbereda sig för GDPR är något positivt, det skapar fokus på varför och hur man hanterar sina kunder och deras personuppgifter. En insikt som skapar affärsfördelar. GDPR är på allvar och innebär samordnade aktiviteter genom hela organisationen. SecureAppbox är en molnplattform där organisationer och programutvecklare kan ansluta befintliga lösningar eller utveckla nya applikationer och tjänster enligt Privacy by Design. www.secureappbox.com contact@secureappbox.com En av tjänsterna i plattformen är SecureMailbox som hjälper privatpersoner, företag och myndigheter att kommunicera säkert i över 160 länder.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss