GDPR chocken – inte ens hälften har påbörjat arbetet


Den 25 maj införs EUs nya dataskyddsförordning, GDPR, som skärper kraven på hur data ska administreras och skyddas. Det som kan hända om inte företagen följer GDPR är att företaget kan tvingas betala så mycket som 20 miljoner euro eller fyra procent av företagets årsomsättning.

Majoriteten av företagen ligger kraftigt efter
IDG rapporterar att en undersökning genomförd av analysföretaget IDC bekräftar att nästan 75 procent av småföretagen och över 90 procent av de medelstora är medvetna om GDPR – men inte ens hälften har börjat förbereda sig. Det är många europeiska små och medelstora företag som känner till EUs nya dataskyddsregler, men betydligt färre som vidtagit åtgärder. Större företag rör sig fortare än mindre, om man tittar geografiskt så implementerar de nordiska företagen GDPR snabbare än andra i andra västeuropeiska länder. I övrigt från IDC:s undersökning konstateras att 44 procent av de europeiska småföretagen och 41 procent av de medelstora säger att de kommer att behöva vidta åtgärder för att möta kraven. En tredjedel av Europas små och medelstora företag har inga planer på att förändra något för att möta de här reglerna.

Vad behöver ni göra?
GDPR konsulten, Anders Jonson, ger sina bästa råd för att snabbt implementera en åtgärdsplan för att bemöta och påbörja ert GDPR arbete.

1.Utse ett dataskyddsombud. Denna funktion ska ha stark ställning i organisationen. Det viktiga är att dataskyddsombudet eller funktionen kan och känner verksamheten. Eftersom funktionen kan bestå av en grupp så tycker jag det borde vara första valet för de flesta inledningsvis.

2.Dataskyddsombudet upprättar sedan ett tydligt policydokument om hur incidentrapportering kring personuppgifter ska ske och behandlas. Vilka ska rapportera till vilka och vad samt inom vilken tidsram.

3.Dataskyddsombudet upprättar också systemstöd, en rapporteringskanal, där alla verksamhets- och systemansvariga samt personuppgiftsbiträden kan rapportera in alla incidenter som sker. Denna kanal ska naturligtvis skyddas enligt de regler som GDPR kräver.

4.Glöm inte att rapporteringskanalen ska finns med i alla personuppgiftsbiträdesavtal under ”personuppgiftbiträdes skyldigheter” så att man säkerställer att misstag via e-post, Skype eller andra tjänster inte förekommer.

5.Se till att kontinuerligt uppdatera nya system och processer som tillkommer samt betona vikten av att rapportera in alla incidenter. Om policydokumentet hålls levande så är det större chans att det efterföljs.

För att framgångsrikt efterleva dataskyddslagen så behöver organisationer investera i nya processer och systemstöd för dessa. Annars kommer de nya dataskyddslagarna bli svåra att efterleva.

 

Ni kan även läsa vår egna guide här