Vägledning 5 steg för att följa Dataskyddsförordningen 1 Starta 2 Inventera nuläget 3 Planera 4 Sätt igång 5 Gå i mål
Introduktion Vägledning Den 25 maj 2018 blir dataskyddsförordningen svensk lag, Dataskyddslagen, och ska börja tillämpas. Dataskyddslagen gäller alla som behandlar personuppgifter såsom myndigheter, företag, kommuner, föreningar och enskilda. Dataskyddslagen kommer att ersätta svenska personuppgiftslagen (PuL). Vägledning Denna vägledning tar upp 5 steg för att följa dataskyddsförordningen och är kopplade till datainspektionens ” förberedelser för personuppgiftsansvariga” 13- frågor 1 Starta 2 Inventera nuläget 3 Planera 4 Sätt igång 5 Gå i mål
En strategisk möjlighet 1 Starta 2 Inventera nuläges 3 Planera 4 Sätt igång 5 Gå i mål 1 Starta Medvetandegöra! Engagera ledningen, nyckelpersoner och medarbetare. Organisationen behöver förstå vad dataskyddsförordningen innebär och vilken förändring som är på gång. En strategisk möjlighet Genom att i god se till att kommunen följer Dataskyddslagen kan kommunen kommunicera utåt att i våran kommun skyddas alla personer som berörs av er verksamhet, vare sig det rör sig om brukare, anställda, klienter eller kommuninvånare. Forma arbetsgruppen Vilka personer i er organisation hanterar personuppgifter? Forma gruppen som ska genomföra processen att uppfylla Dataskyddslagen
Inventera och dokumentera personuppgiftsbehandlingar 1 Starta 2 Inventera nuläges 3 Planera 4 Sätt igång 5 Gå i mål 2 Inventera nuläget Inventera och dokumentera personuppgiftsbehandlingar Strukturerad material/data: Vad finns i verksamhetssystem, ärende- och dokumenthanteringssystem? Var IT-stöd finns geografiskt Vilka personuppgifter hanteras i molnet? Hur samlas de in och till vem uppgifternas lämnas ut? Ni kan därför redan nu kartlägga vilka behandlingar ni genomför och med vilken rättslig grund ni gör detta Ostrukturerat material/data (missbruksregel) Vad har medarbetarnas lokalt på deras datorer eller telefoner? Vad finns i Word och Excel-dokument? Vad finns i epostsystem? Vad finns på papper?, vad innehåller den löpande texten på kommunens hemsidor och sociala medier? Inventera, uppdatera och upprätta juridiska dokument Styrdokument: personuppgiftpolicys Riktlinjer – samtyckehantering (på vilket sätt ni inhämtar samtycke, vilken information ni lämnar och hur ni sparar uppgiften om att samtycke har lämnats av den registrerade.) Rutiner: information som ska lämnas till de registrerade, begäran om rättelser, raderar personuppgifter, hur ni lämnar ut uppgifter elektroniskt i ett allmänt använt format. Personuppgiftincident, Avtal – personuppgiftbiträddesavtal, leverantörsavtal Har kommunens IT-system inbyggd skydd för personuppgifter i IT-system privacy by design? Det ger en större möjlighet att följa reglerna, höja säkerheten och förhindra onödiga framtida kostnader, Vilka säkerhetskrav krävs för uppgifterna
Lista allt som behöver göras i en åtgärdsplan 1 Starta 2 Inventera nuläges 3 Planera 4 Sätt igång 5 Gå i mål 3 Planera Säkra alla tjänster och leverantörer Begär underlag från IT-underleverantörer hur de behandlar personuppgifter och hur de kommer att stödja Dataskyddslagen (det ska vara så detaljerat som möjligt). Det gäller även när de omfattas av biträdesavtal. Se upp för friskrivningar! De här kan hjälpa dig med olika tjänster eller verktyg: – Advokater med inriktning på Dataskyddslagen. – IT-experter med ”privacy” och säkerhets inriktning. – Leverantörer av färdiga lösningar anpassade för dataskyddslagen. Lista allt som behöver göras i en åtgärdsplan Vad behöver vi göra för att skydda individen enligt Dataskyddslagen?
Vilket beteende behöver ändras? 1 Starta 2 Inventera nuläges 3 Planera 4 Sätt igång 5 Gå i mål 4 Sätt igång Vem ska göra vad? Utgå från åtgärdslistan som skapades i steg 3. Fördela uppgifter, prioritera och sätt tidplan på när det ska vara utfört. – Vad ska prioriteras? – Vem är ansvarig? – När ska det vara klart? – Hur ska det dokumenteras? Vilket beteende behöver ändras? Eftersom vi nu ”lånar” informationen från den registrerades krävs det att leverantörer, processer och anställda förstår och stöder detta. Det innebär ett annat beteende och gamla rutiner behöver göras om. Vad behöver förändras hos er? Nya system utvecklas med inbyggd integritet Alla nya rutiner och IT-system behöver vara byggda från grunden att införliva principerna om dataskydd och integritet genom design (Privacy by Design). Hur ska ni säkra att det görs och efterlevs? Var proaktiv för risker Även om säkra tekniska lösningar kan bidra till att minska risken för externa skadliga hot, kommer det inte att skydda mot den mänskliga faktorn. Vilka risker är relevanta för oss?
– har kontroll på hantering av personuppgifter 5 Gå i mål 1 Starta 2 Inventera nuläges 3 Planera 4 Sätt igång 5 Gå i mål Om Ni genomfört steg 1–4 har du anpassat ert sätt att hantera personuppgifter till Dataskyddslagen. Kommunen tillhör nu de goda organisationen som skyddar individens rättigheter. Alla ansvariga hos er: – har kontroll på hantering av personuppgifter – vet hur den behandlas lagras och säkras och har dokumentation på det. Alla medarbetare vet: – att vi lånar alla personuppgifter, och vi hanterar dem därefter. – att skydda våra kunder och deras information är en central del i vår verksamhet.