Tillbaka till It-säkerhet
GDPR Säkerhet

GDPR

Atea hjälper dig och har djup och omfattande erfarenhet av både privat och offentlig sektor inom GDPR.

Vad innebär GDPR?

Dataskyddsförordningen (GDPR) innebär förändring av metoder, processer och förhållningssätt i syfte att skydda våra personuppgifter.

Personuppgifter ska och får behandlas enligt de sex grundprinciper som GDPR förordar. Alla medborgare inom EU får en gemensam datalagstiftning där skyddet av personuppgifter blir prioriterat. Processerna för detta följer med standardiserade metoder för informationssäkerhet. Struktur, ansvar, roller och mandat kommer att bli tydligare. 

Låt oss hjälpa dig med detta.

Ett nytt sätt att tänka 

GDPR ändrar på det traditionella förhållningssättet för verksamheter att bedöma risker och konsekvenser. GDPR utgår från risken och konsekvensen ur den registrerades perspektiv och inte från verksamhetens. Detta kommer ställa krav på förändringar av metoder, processer och tekniska lösningar.

Skydda den digitala identiteten

GDPR huvudsyfte är att göra det enklare för individen att ha kontroll över sin digitala identitet och hur denna behandlas och sparas av olika aktörer. Som individ ska man enklare kunna be att få sina personuppgifter flyttade eller borttagna om personuppgiftslagringen inte längre är önskvärd. Den nya förordningen innebär dessutom bättre definitioner av dina personuppgifter. Ny lagstiftning gör att data som tidigare inte ens klassades som personuppgifter numera gör det – exempelvis ditt DNA som används i vissa digitala register. Alla personuppgifter på européer omfattas av lagstiftningen, oavsett om dessa uppgifter är sparade i eller utanför Europa.

Viktiga punkter som verksamheter måste ha kontroll på är:

  • Förstå lagen och hur den påverkar din verksamhet, om du inte själv har kunskapen kan Atea hjälpa dig.
  • De sex grundprinciperna om behandling av personuppgifter, som GDPR utgår är:
    1. Laglighet, korrekthet och öppenhet 
    2. Ändamålsbegränsning 
    3. Uppgiftsminimering 
    4. Korrekthet 
    5. Lagringsminimering 
    6. Integritet och konfidentialitet
och avslutningsvis visa att man följer dessa genom ansvarsskyldighet.
  • Ha kännedom om egen verksamhets behandling av personuppgifter och kartlägga dessa.
  • Möjlighet att genomföra konsekvensbedömning avseende behandling av personuppgifter ur den registrerades perspektiv.
  • Aktivt samtycke mellan individ och verksamhet vid insamling av personuppgifter.
  • Möjlighet att ta bort personuppgifter när någon vill bli glömd eller vill flytta sin personinformation till en annan verksamhet.
  • Förutsättningar för att anmäla en incident inom 72 timmar från att den upptäcks.
  • Vite om upp till 20 miljon Euro eller 4 % av omsättningen om lagen inte uppfylls.
  • Säkerställa att it-system som behandlar personuppgifter tillförs dataskyddsmekanismer som anonymisering, pseudonymisering, kryptering och behörighetskontroll med flera. 
  • Utse ett dataskyddsombud som kan stödja verksamheten i frågor kring dataskydd.

Det viktigaste är att börja, vänd dig till Atea vi kan dataskydd.

Få stöd inom GDPR

Vi hjälper din verksamhet med ert GDPR arbete och erbjuder både enklare utbildningar för din verksamhet till kompletta genomföranden, implementeringar av skyddsåtgärder, granskningar av efterlevnad (GDPR audit) och DPOaaS (dataskyddsombud som tjänst). 

Vi gör det oavsett var ni står i processen och vårt fokus är att verksamheten självständigt ska klara av att visa hur de följer GDPR. Vi gör detta genom att utbilda och genomföra arbetet tillsammans med verksamheten och därmed möjliggöra att kunskapen överförs från konsulten till er.  

Atea har tagit fram en iterativ process på 3 steg/faser, dessa har erfarenhetsmässigt visat sig framgångsrika inom både privat och offentlig sektor.

  1. Fas 1 ROP (registrerinventering/förteckning)
    Vi identifierar era behandlingar av personuppgifter i verksamheten. Detta görs genom utbildning och workshops och leveransen blir register över behandlingar.  
  2. Fas 2 DPIA (konsekvensbedömning)
    Vi genomför konsekvensbedömningar på de behandlingar som innebär hög risk ur den registrerades perspektiv och utbildar verksamheten i riskbedöm
    ning och riskanalys.
  3. Fas 3 Åtgärder/Kontroller
    Baserat på de två tidigare faserna genomför vi tillsammans med verksamheten en åtgärdskatalog 
    med best practice och baseras på ISO standarden. Förslag på vilka skyddsåtgärder som är relevanta för olika typer av behandlingar, ex på sådana är styrdokument: som policy, avtal, administrativa kontroller som roller och ansvar, tekniska: behörighetsövervakning, pseudonymisering 

Vi kan därefter hjälpa till med implementationen av dessa och även kontrollera deras effektivitetsgrad och i vilken mån de faktiskt fungerar som man har avsett.  

Vi stöttar er med att uppnå ett riskbaserat och systematiskt informationssäkerhetsarbete som baseras på internationella standarden ISO. 

Dataskyddsombud som tjänst (DPOaaS)

GDPR ställer krav på företag och myndigheter som regelbundet behandlar personliga uppgifter att tillsätta ett dataskyddsombud. Detta krav omfattar både personuppgiftsansvariga och personuppgiftsbiträden. Att utse ett dataskyddsombud underlättar verksamhetens förutsättning att uppnå regelefterlevnad och att kommunikation medtillsynsmyndigheter och registrerade genomförs på ett korrekt och effektivt sätt.

Om rollen

Dataskyddsombudet har en rådgivande roll och har samtidigt en rapporteringsskyldighet till tillsynsmyndigheten (Datainspektionen). Det är alltid den personuppgiftsansvarige som är ansvarig för verksamhetens behandling av personlig information. 

Ett dataskyddsombud från Atea stöttar våra kunder med  att informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträdet och de anställda som behandlar personuppgifter om deras skyldigheter enligt denna förordning och andra av unionens eller medlemsstaternas dataskyddsbestämmelser. 

  1. Att övervaka efterlevnaden av denna förordning, av andra i unionens eller medlemsstaternasdataskyddsbestämmelser och av den personuppgiftsansvariges eller personuppgiftsbiträdets strategi för skyddav personuppgifter, inbegripet ansvarstilldelning, information till och utbildning av personal som deltar i behandling och tillhörande granskning. 
  2. Att på begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet avden enligt artikel 35.
  3. Att samarbeta med tillsynsmyndigheten.
  4. Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling, inbegripet det förhandssamråd som avses i artikel 36, och vid behov samråda i alla andra frågor. 

Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till de risker som är förknippade med behandling, med beaktande av behandlingens art, omfattning, sammanhang och syften. 

Dataskyddsombud kan även stötta med att 

  • Säkerställa att kunden har rapporterat dataskyddsombudet till tillsynsmyndigheten 
  • Säkerställa att kunden har informerat sin egen organisation att dataskyddsombudet finns tillgängligt samt hur man kan kontakta denne. 
  • Säkerställa att kunden har möjliggjort för den registrerade kan kontakta dataskyddsombudet 
  • Månadsrapport med tidsrapportering, genomfört arbete och planerat arbete

Utbilda dina medarbetare i GDPR

Atea erbjuder en webbaserad kurs i GDPR som ger hela företaget bättre förståelse för GDPR och konkreta tips på vad man skall tänka på.

Syftet med utbildningen är att ge er och personalen grundläggande kunskaper i den nya lagstiftningen och hur ni enklast applicerar förändringarna. Utbildningen förbereder alla som på någon nivå arbetar med personuppgifter, på den nya lagstiftningen.

Kursen belyser viktiga förändringar och steg mot efterlevnad samt hjälper dig att:

  • få upp ämnet på dagordningen, i hela verksamheten.
  • upprätta grundläggande kunskaper om förordningens innehåll och dess praktiska och juridiska konsekvenser.
  • skapa en medvetenhet som ger stöd till nyckelpersoner i förändringsarbetet.

Atea Nanolearning GDPR

Atea erbjuder din organisation en webbaserad kurs med 11 korta lektioner om max fem minuter per avsnitt som skickas med e-post till medarbetarna, normalt en gång i veckan.

Exempel på ämnen som berörs:

Välkommen till GDPR - EUs nya dataskyddsförordning

  • Vad menas med personuppgifter?
  • Personuppgifter måste behandlas enligt lag
  • Laglig personuppgiftshantering: Vilka är involverade?
  • Vi behöver personuppgiftsbiträdesavtal
  • Medborgare får utökade personliga rättigheter
  • Att rapportera incidenter: När ett brott inträffar
  • Personuppgiftshantering - vilka risker finns?
  • Integritet först - i tjänster och lösningar
  • Sammanfattning och vad ska vi göra?
  • Utvärdering – personuppgiftshantering

Målgrupp

Organisationer som vill arbeta proaktivt med nya personuppgiftslagen och behöver utbilda sina anställda om hur man hanterar personuppgifter.

Få stöd med GDPR

?
?
Tillbaka till It-säkerhet
Atea.se upplevs bättre om du uppdaterar din webbläsare. Här hittar du en ny version av internet explorer