Hur hålls GDPR levande i organisationen?

För att hålla GDPR levande är det viktigt att organisationen vet vad lagstiftningen innebär i praktiken. Det krävs därför att alla anställda genomgår grundläggande, och gärna återkommande, utbildningar. Det är precis lika viktigt att nyanställda introduceras till organisationens dataskyddsarbete som att befintliga medarbetare blir påminda.

Utbildningar kan genomföras i alla möjliga format, ha olika innehåll och vara riktade till olika målgrupper. Det viktiga är att innehållet är anpassat till er organisation och att utbildningarna genomförs kontinuerligt för att säkerställa medvetenhet hos både medarbetare och ledningen.

Dataskyddsombudets roll är att vara en kunskapsresurs inom dataskyddsfrågor och att bistå organisationen med råd och vägledning. Dataskyddsombudet ska också övervaka och granska organisationens efterlevnad av GDPR.

Att ha ett aktivt dataskyddsombud är avgörande för att säkerställa att GDPR följs. Se därför till att ni inkluderar ert dataskyddsombud i dataskyddsarbetet och använd dataskyddsombudet för utbildningar. Eftersom dataskyddsombudets roll också är att genomföra granskning för att säkerställa lagefterlevnad, har ni stor nytta av dataskyddsombudets granskningsrapporter, löpande rapportering, tips och råd.

För att säkerställa att alla styrande dokument och processer som upprättades i det inledande GDPR-projektet fortsatt hålls aktuella är det en god idé att årligen genomföra en översyn av innehållet och eventuell revidering av dokumenten.

GDPR innehåller också krav på att organisationer ska dokumentera och kunna visa på att regelverket följs. Ni behöver därför säkerställa att registerförteckningen och annan dokumentation om personuppgiftsbehandlingar hålls levande. Säkerställ att ni efterlever dokumentationskravet genom att upprätta och implementera rutiner som beskriver när och hur personuppgiftsbehandlingar som genomförs inom organisationen ska dokumenteras.

Att genomföra regelbundna internrevisioner är väsentligt för att upptäcka potentiella brister och att därmed ha möjlighet att åtgärda bristerna innan de leder till större incidenter. En åtgärdad brist säkerställer också lagefterlevnad. Dataskyddsombudet genomför intern granskning, men ni kan med fördel göra detsamma för att förbättra era rutiner och hålla dataskyddsarbetet aktuellt. 

Ytterligare ett sätt att förebygga och åtgärda risker är att göra kontinuerliga riskbedömningar. Det ska särskilt göras om en personuppgiftsbehandling sannolikt leder till en hög risk för människors fri- och rättigheter. Syftet med att genomföra riskbedömningar är att förebygga risker innan de uppkommer.

Vidare är rättsläget något som ständigt är i rörelse och särskilt i dataskyddsvärlden där ny praxis hela tiden tillkommer. Se därför till att ha koll på vad som händer i världen genom att inkludera dataskydd i omvärldsbevakningen, och uppdatera era arbetssätt utifrån nya ställningstaganden och ny vägledning.

Har er organisation implementerat ett ledningssystem för informationssäkerhet? Se till att det också inkluderar dataskydd! Genom att ha ett ledningssystem för informationssäkerhet, cybersäkerhet och dataskydd har ni upprättat ett systematiskt arbete som på ett strukturerat sätt följs upp och upprätthålls. Ett ledningssystem ska vara anpassat för varje organisation, men vanligtvis innebär det att ta reda på vilka krav och förväntningar som finns på organisationen, etablera en riskhanteringsprocess, införa säkerhetsåtgärder och att ha kontroll på incidenter och avvikelser.

Runt om i världen hålls varje år flera olika kampanjer för att uppmärksamma informationssäkerhet, IT-säkerhet, cybersäkerhet och dataskydd. I Sverige finns bland annat Tänk säkert-kampanjen som inträffar varje oktober (EU:s informationssäkerhetsmånad), och firandet av den internationella dataskyddsdagen som är den 28 januari varje år. Undersök om ni har möjlighet att delta i någon kampanj eller på annat sätt särskilt uppmärksamma säkerhetsarbetet i er organisation.

Att upprätthålla en stark säkerhetskultur är väsentligt för att hålla GDPR levande i en organisation. Säkerhetskultur handlar om gemensamma värderingar, attityder och beteenden som hjälper medarbetarna att sätta säkerheten i fokus.

Fundera över vilka strategier ni behöver fokusera lite extra på för att upprätthålla en stark säkerhetskultur inom er organisation. Det kan till exempel vara att hålla utbildningar, att säkerställa att det finns ett ansvar för säkerheten på alla nivåer, att det finns tydliga styrande dokument samt att uppmuntra medarbetarna till att rapportera brister eller misstag.