Så bevisar du att du efterlever GDPR

Efterlever din organisation dataskyddsförordningen? Det är en sak är att uppfylla kraven. Men det är något helt annat att kunna bevisa för tillsynsmyndigheterna att din organisation följer alla dataskyddsreglerna. Om det värsta tänkbara inträffar och din organisation drabbas av en personuppgiftsincident, kan din organisation undvika enorma påföljder om du kan bevisa att organisationen följer GDPR-reglerna.

Att kunna efterleva GDPR har snabbt blivit ett överhängande problem. Organisationer som behandlar EU-medborgarnas personuppgifter – oavsett om de organisationerna ligger i EU – måste följa GDPR och kunna bevisa att de gör det.

Artikel 5 i GDPR fastlägger behovet av att bevisa att man uppfyller kraven i själva förordningen: ”Den personuppgiftsansvarige ansvarar för och ska kunna bevisa att GDPR efterlevs”.

De enorma böter som har fastställts i GDPR-förordningen kommer att åläggas de organisationer som upplever personuppgiftsincidenter på grund av att kraven i GDPR inte uppfylls. Det innebär att en organisation som upplever en personuppgiftsincident, men som kan bevisa att den följer GDPR kommer att slippa förlora två procent av organisationens globala årliga omsättning.

Det är därför viktigt att spara all relevant dokumentation för de initiativ som en organisation har infört för att efterleva GDPR-kraven. Det är också viktigt att all denna dokumentation sparas i samma (eller ett liknande) format för att säkerställa enkel åtkomst och läsbarhet. Det är också nödvändigt att organisationer har en översikt över all den behandling av personuppgifter som förekommer samt över datakällor. Om en organisation är skyldig att utse ett dataskyddsombud (DPO) eller planerar att utse ett sådant bör detta vara en av personens viktigaste uppgifter. Att säkerställa tydlig dokumentation över att GDPR-förordningen följs är nämligen ett starkt skydd mot påföljder. Att fungera som mellanhand mellan organisationen och tillsynsmyndigheterna bör också vara en del av arbetsbeskrivningen och arbetsbördan för dataskyddsombudet.

En av de viktigaste saker man bör överväga är att GDPR kräver ”inbyggt dataskydd och dataskydd som standard” (artikel 25). Inbyggt dataskydd uppmuntrar till (och kräver) att man följer GDPR i alla led och redan från början. Det gör att man går till roten med problemen och skyddar uppgifterna redan från början så att man inte senare behöver införa skydd för att uppfylla kraven.

Det är också viktigt att tänka på att GDPR-förordningen kräver att endast relevanta uppgifter lagras. Organisationerna måste alltså kunna rättfärdiga de uppgifter som lagras och varför det är relevant för driften av​organisationen.

Skydd genom standardinställningar innebär att stränga dataskydds- och informationssäkerhetsåtgärder används som standard redan från första dagen när en tjänst eller en produkt erbjuds. På så sätt krävs inga ytterligare säkerhetsåtgärder och handlingar senare för att efterleva kraven.

I GDPR fastläggs centrala rättigheter för de registrerade, och organisationer som följer reglerna måste bevisa att de kan hantera en begäran från en registrerad om denna väljer att utöva en av dessa rättigheter. ”Rätten till tillgång” innebär att de registrerade enkelt kan få åtkomst till vilka som helst av sina personuppgifter som lagras av en organisation, medan ”Rätten att bli bortglömd” kommer att betyda att de registrerade kan begära att deras personuppgifter ska raderas (av ett rimligt skäl). Att bevisa att en organisation snabbt kan nå fram till, ge åtkomst till och radera personuppgifter, om de får en begäran om det, kommer också att vara en utmaning för organisationer.

Resultatet är alltså att GDPR från denna stund fastställer ganska generaliserade mål och krav på organisationerna. Enligt Sans Institute har tillsynsmyndigheterna själva utanför citat uttryckt oro över det inkonsekventa genomförandet av reglerna, eftersom detaljerna ännu inte har fastställts. Det innebär att det bästa sättet att bevisa att man följer GDPR är att ha ett bredspektrat och noggrant tillvägagångssätt vid behandlingen av uppgifter. Bevisen för att man följer GDPR bör vara övergripande och vid alla beslut som fattas mot bakgrund av frågor eller tvivel bör man söka råd hos de lokala myndigheterna i medlemslandet.

Vill du veta mer om GDPR, klicka här för gratis råd.

Scroll to top