En sen julklapp om Brexit?
29 december, 2020
Sedan GDPRs intåg 2018 har utvecklingen av dataskydd och dataskyddsfrågor ökat rejält, och det blir allt vanligare att organisationer utser en intern dataskyddsansvarig. Som nytillträdd i rollen är det lätt att bli överväldigad av frågorna som uppstår, inte minst för att det sker ständiga förändringar och nya regleringar att förhålla sig till. I detta blogginlägg har vi samlat tre vanliga frågor vi får, och låtit en av PrivacyWorks dataskyddsexperter besvara dem.
1. Det blir allt molnigare i företagsvärlden när fler och fler företag i större utsträckning övergår till molntjänster för sin datalagring. Hur bör man tänka kring det som dataskyddsansvarig i ett företag?
Det viktiga här är att välja molntjänstleverantör med omsorg. I och med Schrems II-domen blev det fastställt att Privacy Shield-avtalet mellan EU och USA inte är tillräckligt för att skydda personuppgifter som förs över till USA, vilket innebär att det har blivit väldigt svårt för personuppgiftsansvariga i EU att överföra personuppgifter till amerikanska molntjänster på ett sätt som är förenligt med GDPR. Här har man som dataskyddsansvarig möjlighet att påverka vilka leverantörer man väljer till känsliga områden som detta. Man kanske kan kolla på svenska leverantörer?
Sen bör man göra en ordentlig genomgång av säkerheten. En bra idé kan vara att ta in specialister inom IT-säkerhet och informationssäkerhet för att se över bland annat kryptering och accessen till datan med personuppgifter som lagras.
2. Hur sätter man en tydlig och säker dataskyddsstrategi i företaget?
Se till att få med ledningen och hela organisation på tåget, för att gemensamt skapa en struktur och vision som går hand i hand med affärsmålen. Tryck på att genom att ha en tydligt och trygg dataskyddsstrategi så kan man skapa en organisation med mer kontroll, minimala risker och även bättre lönsamhet i framtiden. Integritet ska vara allas prioritet.
Ta ett helhetsgrepp från grunden för att internt ta fram de policies som behövs kring hur ni ska arbeta och tänka om personuppgifter. Ta hjälp av befintliga policies, processer, anställda och dokumentation. Tänk på de allra mest grundläggande säkerhetsfunktionerna (e-post, filsystem mm), och gör ett större tag för att bena ut exakt vilken personuppgiftsdata ni samlar in. Hur länge sparar ni detta? Behöver ni all den datan eller är vissa delar onödig? Kan ni begränsa åtkomsten till personuppgifterna för anställda? Lista alla viktiga aspekter av datainsamlingen och skapa nya processer för hur ni hanterar dessa.
3. Några övriga tips man bör tänka på när man ska ansvara för dataskyddsarbetet i en organisation?
Att vara den ende dataskyddsansvarige i en organisation kan vara ett ensamt jobb. Lagstiftningen uppdateras och det lämnar utrymme för tolkningar. Det kan behövas en stöttepelare av någon i samma situation för att agera bollplank för de frågor och funderingar som uppstår. Att utveckla ett nätverk av dataskyddsspecialister eller andra dataskyddsansvarige kan vara guld värt i många situationer.
Utbildningen DP Academy – som hålls i samverkan mellan PrivacyWorks och Forum För Dataskydd – är inriktad på just personer som ansvarar för dataskyddsarbetet i en organisation. Kursen har hittills utbildat över 200 personer som aktivt jobbar med dataskyddsfrågor i olika företag. Utöver en gedigen utbildning knyter kursdeltagare band med dataskyddsexperter och andra personer som jobbar med dataskydd, vilket ger ett ultimat nätverk för att kunna bolla dataskydds- och lagtolkningsfrågor både nu och i framtiden.
Vårens anmälan till DP Academy är nu öppen, med begränsat antal platser. Läs mer om utbildningen och säkra din plats här.
