Atea hjälper dig och har djup och omfattande erfarenhet av både privat och offentlig sektor inom GDPR.
Vi hjälper din verksamhet med ert GDPR arbete och erbjuder både enklare utbildningar för din verksamhet till kompletta genomföranden, implementeringar av skyddsåtgärder, granskningar av efterlevnad (GDPR audit) och DPOaaS (dataskyddsombud som tjänst).
Vi gör det oavsett var ni står i processen och vårt fokus är att verksamheten självständigt ska klara av att visa hur de följer GDPR. Vi gör detta genom att utbilda och genomföra arbetet tillsammans med verksamheten och därmed möjliggöra att kunskapen överförs från konsulten till er.
Atea har tagit fram en iterativ process på 3 steg/faser, dessa har erfarenhetsmässigt visat sig framgångsrika inom både privat och offentlig sektor.
- Fas 1 ROP (registrerinventering/förteckning)
Vi identifierar era behandlingar av personuppgifter i verksamheten. Detta görs genom utbildning och workshops och leveransen blir register över behandlingar. - Fas 2 DPIA (konsekvensbedömning)
Vi genomför konsekvensbedömningar på de behandlingar som innebär hög risk ur den registrerades perspektiv och utbildar verksamheten i riskbedömning och riskanalys. - Fas 3 Åtgärder/Kontroller
Baserat på de två tidigare faserna genomför vi tillsammans med verksamheten en åtgärdskatalog med best practice och baseras på ISO standarden. Förslag på vilka skyddsåtgärder som är relevanta för olika typer av behandlingar, ex på sådana är styrdokument: som policy, avtal, administrativa kontroller som roller och ansvar, tekniska: behörighetsövervakning, pseudonymisering.
Vi kan därefter hjälpa till med implementationen av dessa och även kontrollera deras effektivitetsgrad och i vilken mån de faktiskt fungerar som man har avsett.
Vi stöttar er med att uppnå ett riskbaserat och systematiskt informationssäkerhetsarbete som baseras på internationella standarden ISO.
Vad innebär GDPR?
Dataskyddsförordningen (GDPR) innebär förändring av metoder, processer och förhållningssätt i syfte att skydda våra personuppgifter.
Personuppgifter ska och får behandlas enligt de sex grundprinciper som GDPR förordar. Alla medborgare inom EU får en gemensam datalagstiftning där skyddet av personuppgifter blir prioriterat. Processerna för detta följer med standardiserade metoder för informationssäkerhet. Struktur, ansvar, roller och mandat kommer att bli tydligare.
Ett nytt sätt att tänka
GDPR ändrar på det traditionella förhållningssättet för verksamheter att bedöma risker och konsekvenser. GDPR utgår från risken och konsekvensen ur den registrerades perspektiv och inte från verksamhetens. Detta kommer ställa krav på förändringar av metoder, processer och tekniska lösningar.
Skydda den digitala identiteten
GDPR huvudsyfte är att göra det enklare för individen att ha kontroll över sin digitala identitet och hur denna behandlas och sparas av olika aktörer. Som individ ska man enklare kunna be att få sina personuppgifter flyttade eller borttagna om personuppgiftslagringen inte längre är önskvärd. Den nya förordningen innebär dessutom bättre definitioner av dina personuppgifter. Ny lagstiftning gör att data som tidigare inte ens klassades som personuppgifter numera gör det – exempelvis ditt DNA som används i vissa digitala register. Alla personuppgifter på européer omfattas av lagstiftningen, oavsett om dessa uppgifter är sparade i eller utanför Europa.
Viktiga punkter som verksamheter måste ha kontroll på är:
- Förstå lagen och hur den påverkar din verksamhet, om du inte själv har kunskapen kan Atea hjälpa dig.
- De sex grundprinciperna om behandling av personuppgifter, som GDPR utgår är:
- Laglighet, korrekthet och öppenhet
- Ändamålsbegränsning
- Uppgiftsminimering
- Korrekthet
- Lagringsminimering
- Integritet och konfidentialitet
och avslutningsvis visa att man följer dessa genom ansvarsskyldighet.
- Ha kännedom om egen verksamhets behandling av personuppgifter och kartlägga dessa.
- Möjlighet att genomföra konsekvensbedömning avseende behandling av personuppgifter ur den registrerades perspektiv.
- Aktivt samtycke mellan individ och verksamhet vid insamling av personuppgifter.
- Möjlighet att ta bort personuppgifter när någon vill bli glömd eller vill flytta sin personinformation till en annan verksamhet.
- Förutsättningar för att anmäla en incident inom 72 timmar från att den upptäcks.
- Vite om upp till 20 miljon Euro eller 4 % av omsättningen om lagen inte uppfylls.
- Säkerställa att it-system som behandlar personuppgifter tillförs dataskyddsmekanismer som anonymisering, pseudonymisering, kryptering och behörighetskontroll med flera.
- Utse ett dataskyddsombud som kan stödja verksamheten i frågor kring dataskydd.
Det viktigaste är att börja, vänd dig till oss på Atea - vi kan dataskydd.
GDPR Audit
GDPR Audit är en tjänst som hjälper era verksamheter inom privat och offentlig sektor att få kontroll över om ni har vidtagit de åtgärder som krävs för att följa dataskyddsförordningen. Kritikalitetsnivå och rekommendation på åtgärd tas fram utifrån 24 fördefinierade områden.
Tjänsten levereras av två konsulter och syftar till att skapa efterlevnad.
Med GDPR Audit får ni:
- Uppstartsmöte ledningsgrupp/berörda parter
- Presentation av arbetssätt bestående av dokumentgranskning och intervjuer
- Preliminär genomgång av observationer i rapport
Utbildning GDPR
Vi på Atea erbjuder utbildning i klassrum samt webbaserade kurser i GDPR tillsammans med vår utbildningspartner Junglemap genom deras koncept NanoLearning. Bakgrunden är att många organisationer håller på att förändra sitt arbetssätt runt GDPR.
