07-03-2019

GDPR – EU:s allmänna dataskyddsförordning – är något de flesta företag känner till. Men vissa har det fortfarande svårt med att få rätsida på reglerna och hur de ska efterlevas. Här följer en guide på vad ditt företag bör göra för att bli så kallade ”GDPR-compliant”. 

 

Det första ni som företag bör göra för att leva upp till kraven i dataskyddsförordningen, är att få kartlagt vilka personuppgifter företaget behandlar. I de flesta fall är den största utmaningen för företaget att kunna redogöra för vilka uppgifter de hanterar och vilka medarbetare som har åtkomst till dem. Därnäst är det viktigt att företaget tar fram tydliga riktlinjer, policyer och processer för sin hantering av personuppgifter.

Head of Security för e-Boks, Frank Bødtker Madsen, rekommenderar alla företag att följa dessa fem steg:

 

  1. Kartlägg företagets data
    Det vill säga: Vilka data lagrar ni (känsliga eller icke känsliga)? Och hur lagrar ni data? Vem i företaget har åtkomst till data? Och hur distribuerar ni data internt och externt (via säkra eller icke säkra kanaler)?

 

  1. Behåll bara uppgifter som kan användas till ett konkret, legitimt ändamål
    Spara inte mer information än nödvändigt – och radera data som inte används. Fråga er själva varför ni har lagrat de data ni har lagrat. Är lagringen nödvändig för företagets verksamhet och ändamål eller samlar ni bara in stora mängder data utan något bestämt syfte eller behov? Det är ytterst viktigt att inte lagra eller behandla överflödiga eller föråldrade data.

 

  1. Få kontroll över säkerheten
    Se till att få implementerat ett säkerhetssystem som garanterar ett fullgott skydd mot säkerhetsöverträdelser och olaglig behandling. Detta omfattar även information till – och upplärning av – företagets medarbetare, eftersom många överträdelser beror på misstag och okunskap.

 

  1. Få kontroll över företagets behandlingsunderlag
    Förutom ett legitimt och konkret behandlingssyfte, måste företaget också kunna dokumentera ett behandlingsunderlag. Detta kan t.ex. vara den registrerades specifika samtycke eller ett avtal.

 

  1. Ta ansvar för användarnas rättigheter
    Det är företagets ansvar att säkerställa att uppgifter om dess behandlingsaktiviteter finns lättåtkomliga för användaren. Offentliggör en lättläslig och överskådlig integritetspolicy eller liknande. Om ni ber era användare skicka – eller svara på – meddelanden med känsligt innehåll, måste ni ställa en ”GDPR-compliant” kanal till mottagarnas förfogande, som de kan använda för att skicka sina svar genom, t.ex. e-Boks.

 

Därutöver måste ni förbereda företaget på att kunna besvara förfrågningar från enskilda användare.
Tänk över dessa punkter:

  • Vad gör ni om en person ber er radera vederbörandes personuppgifter från ert system?
  • Vad krävs för att ni ska kunna samla in samtycken på ett lagligt sätt?
  • Vad gör ni vid en eventuell säkerhetsöverträdelse?
  • Kan ni samla in alla uppgifter om en individuell användare och distribuera uppgifterna vi en säker kanal?

 

Gör e-Boks till lösningen

e-Boks erbjuder en säker, samlad kanal, som efterlever förordningens krav på säkerhet och integritetsskydd. Företag som använder e-Boks för att skicka känsligt innehåll och kommunikation till sina användare, kan vara säkra på:

  • Att all kommunikation och distribution av dokument skyddas, bl.a. genom kryptering.
  • Att pålitlig teknik verifierar användarnas identitet. Vilket säkerställer att den person som eventuellt ber om insikt i sina uppgifter, faktiskt är den person som hen utger sig för att vara.
  • Att bara den ämnade mottagaren får åtkomst till skickade uppgifter – inte ens e-Boks själva har åtkomst till användarnas dokument.
  • Att överföringen av uppgifter, oavsett typ och sekretessnivå, uppfyller gällande krav i dataskyddsförordningen (GDPR).

 

Vill du veta mer om hur e-Boks kan säkra ditt företags data, så att ni lever upp till kraven i GDPR?

Kontakta e-Boks här, för ett helt kravlöst samtal om era möjligheter.