Säkerhetsblogg

En snabb guide till GDPR-dokumentation

I GDPR finns det en princip som heter ansvarsskyldighet vilket innebär att man ska kunna bevisa att man efterlever förordningen. Ett sätt att göra detta på är bra dokumentation. I detta blogginlägg går vi igenom den viktigaste dokumentationen för att följa GDPR.

Registerförteckning

En registerförteckning är ett register över hur organisationen behandlar personuppgifter. Både personuppgiftsansvarig och personuppgiftsbiträde är skyldiga att föra register över personuppgiftsbehandling. Genom att föra ett register över det kan organisationer svara på frågor som var, varför, hur och hur länge personuppgifter behandlas. Bland annat ska registerförteckningen specificera ändamål med behandlingen, vilka kategorier av personuppgifter som behandlas, rättslig grund och hur länge personuppgifterna sparas.

En registerförteckning är ett viktigt dokument då man som organisation ska kunna visa Datainspektionen detta på begäran. Förteckningen är även ett väldigt bra underlag för en gap-analys. 24 Solutions har tagit fram en mall för registerförteckning som är färdig att fylla i.

Informationssäkerhetspolicy

GDPR innebär ett nytt sätt att se på informationssäkerhet och individens integritet. Organisationen ska visa att den har satt övergripande mål och hålls ansvariga för säkerheten runt personuppgifter, vilket bör reflekteras i en informationssäkerhetspolicy. Många har kanske redan en sådan policy i sin organisation, men då gäller det att uppdatera den så att den innehåller det som GDPR fokuserar mer på, exempelvis personlig integritet och rättigheter, risk- och incidenthantering och klassning av information. Här kan du läsa tips om hur man skriver en bra informationssäkerhetspolicy.

Regler och riktlinjer för informationssäkerhet

En informationssäkerhetspolicy är ett övergripande styrdokument, men det fastställer inte hur företaget ska jobba för att följa den. Regler och riktlinjer konkretiserar och detaljerar informationssäkerhetspolicyn och specificerar hur man kommer att göra i praktiken. En rekommendation är att dela upp dokumentet och beskriver det som rör användare, ledning, system/nätverk och rättigheter (registrerades rättigheter till sina personuppgifter) i olika segment.

 Privacy Policy (personuppgiftspolicy)

En Privacy Policy, även kallat integritetspolicy, dataskyddspolicy, sekretesspolicy och personuppgiftspolicy, anger vilken typ av information som samlas in och vad organisationen gör med den. En Privacy Policy är ett tillfälle för företag att vara transparanta med sin personuppgiftsbehandling.

I en Privacy Policy kan vara bra att utgå från frågorna vad, varför, hur, hur länge och var. Man ska ange vad det är för personuppgifter man behandlar. Det är även viktigt att ta upp varför – varför behandlar vi personuppgifterna? Vad är syftet? Då GDPR ställer krav på att personuppgifter i regel ska behandlas inom EU/EES är det dessutom viktigt att ange var personuppgifterna behandlas och lagras. Förutom detta bör man även ta upp säkerhetsåtgärder för skydd av persondata och individens rättigheter när det kommer till sina personuppgifter.

Det är viktigt att vara specifik och transparent i sin Privacy Policy – bättre att vara övertydlig än otydlig! Om en organisation exempelvis behandlar personuppgifter på sätt som inte har specificerats i policyn, så kan detta användas emot organisationer rent juridiskt. När du ska skriva din Privacy Policy är ett tips att titta på hur andra organisationer har gjort. Här hittar du Googles Privacy Policy.

Biträdesavtal (personuppgiftsbiträdesavtal)

Ett personuppgiftsbiträde är någon som behandlar personuppgifter för en personuppgiftsansvarigs räkning, alltså någon utanför den personuppgiftsansvariges organisation. Ett personuppgiftsbiträde kan vara en person (till exempel en enskild företagare), myndighet eller organisation. Det kan exempelvis vara en tjänsteleverantör såsom molntjänstleverantör eller marknadsföringsbolag. För att säkerställa att personuppgiftsbehandling uppfyller GDPR bör man upprätta ett biträdesavtal med personuppgiftsbiträden.

Biträdesavtalet tas fram av den personuppgiftsansvarige och ska beskriva personuppgiftsbehandlingen. Denna beskrivning bör innehålla vad som behandlas (typen av personuppgifter), varaktighet och syfte med behandlingen och personuppgiftsbiträdets och personuppgiftsansvariges skyldigheter.

Många kanske redan har flera av dessa dokument på plats, men då GDPR innebär ett antal förändringar från PuL, så bör man se över och uppdatera befintliga versioner. Kraven i GDPR kan vara svårtolkade men i grund och botten handlar förordningen om att organisationer måste bli bättre på att förvalta personuppgifter. Ett säkerhetstänk bör därför genomsyra hela organisationen – i rutiner, regler, policyer, produkter och tjänster.

 

Här kan du läsa mer om GDPR:

Frågor och svar om GDPR

Vad är skillnaden mellan pseudonymisering och anonymisering?

Se våra utbildningsfilmer om GDPR

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com