GDPR

Har du börjat förbereda dig för GDPR?

När du som företräder en organisation väl har fått övergripande information om vad som gäller den 25 maj 2018, när den nya Dataskyddsförordningen träder ikraft, kommer nästa fråga. Hur gör du nu, rent praktiskt?

Var börjar du? Vilka skall vara involverade? Gäller det hela organisationen? Hur vet du att ni inte missar något? Hur visar du att ni uppfyller kraven osv?

Min rekommendation är att först skifta fokus från specifika krav som organisationen måste uppfylla och vilka åtgärder dessa kräver, till att fokusera på en strategi för att uppfylla alla krav, från start den 25 maj 2018 och för framtiden.

En sådan strategi kommer att se olika ut för olika organisationer, främst beroende på storlek och verksamhetsinriktning men det finns gemensamma nämnare som gäller alla, oavsett storlek. Ni som organisation behöver ett system eller ramverk för att hantera GDPR på ett systematiskt och hanterbart sätt.

Ett system för dataskydd som innefattar riktlinjer och aktiviteter, som kopplar kraven för dataskydd med policys och kontroller och som i sin tur säkerställer att kraven uppfylls och efterlevs. Ett sådant system behöver adressera tre nyckelområden:

  • Principer för skydd av personuppgifter (Vilket är själva dataskyddsförordningen)
  • Mål för organisationen gällande styrning, efterlevnad och riskhantering
  • Dokumentation av systemet i forma av policys, processbeskrivningar och register

Att utveckla ett system för dataskydd är jämförbart med andra affärsprojekt. Man definierar mål och policys som styr implementering av processer och rutiner. Alla de nödvändiga processerna behöver inte varar definierade från start. De kan byggas in i systemet i olika steg för att till slut säkerställa att målen uppnås.

Det finns två vägar att gå för att åstadkomma detta:

1. Bygga systemet själv från grunden,
2. eller ta hjälp av befintliga system som adresserar liknande syften.

Det första alternativet kan vara rätt om det gäller ett litet företag med en eller några få anställda. Om organisationen är större är det mycket bättre att ta del av befintliga system som är väl beprövade.

GDPR-förordningen uttrycker tydligt fördelen med att ta hjälp av internationella standarder (ISO). Den standard som ligger närmast i fokus är ISO/IEC 27001, standard för informationssäkerhet. Men flera ISO standarder (som t.ex. ISO 9001 och ISO 14001) är uppbyggda på liknade sätt med liknande struktur. De utgör alla ett ledningssystem och det är det systemet du vill åt.

Det är naturligtvis inte fel att implementera ett komplett ISO 27001, och det är inte fel att certifiera organisationen mot denna standard. Speciellt med åtanke på att ISO 27001 i sig täcker ca 80% av GDPR-kraven och kan relativt enkelt kompletteras med resterande GDPR-specifika åtgärder.

Men du kan avvakta med (eller välja bort delar av) den kompletta implementeringen och ändå ta del av själva ledningssystemet som ger struktur till planering, drift, uppföljning och förbättring av GDPR-implementeringen.

Sammanfattning

• Fokusera först på att implementera ett ledningssystem för dataskydd
• Utgå från ett standardiserat system som till exempel ISO 27001
• Implementera själva ledningssystemet samt de processer och kontroller som är relevanta för GDPR
• Komplettera med specifika GDPR-kontroller

Nu är det ont om tid och det är inte fel att arbeta parallellt med flera spår. Samtidigt som implementeringen av själva ledningssystemet påbörjas kan det därför var rätt att påbörja implementering av specifika åtgärder som till exempel någon av de principer som beskrivs i Artikel 5 i dataskyddsförordningen. Det viktiga är att det finns en tydlig projektplanering och att samtliga åtgärder skall införas som en del av ledningssystemet.



Kommentera