Praktiskt dataskydd som fungerar i vardagen
GDPR handlar inte bara om juridik. Det handlar om att faktiskt skydda personuppgifter i praktiken. Vi hjälper er med de tekniska och organisatoriska åtgärder som krävs och bygger rutiner som fungerar i er vardag. Vi ser också till att dataskyddet hänger ihop med ert övriga säkerhetsarbete.
Så hjälper vi er
Vi fokuserar på de praktiska och tekniska delarna av dataskyddet, det som gör verklig skillnad för er säkerhet.
Kartläggning och registerförteckning
Vi hjälper er kartlägga vilka personuppgifter ni behandlar, var de finns och varför. Resultatet blir en tydlig registerförteckning som ger er överblick och uppfyller GDPR:s dokumentationskrav.
Tekniska och organisatoriska åtgärder
Kärnan i dataskyddet. Vi hjälper er med de konkreta skyddsåtgärderna: åtkomstkontroll, kryptering, loggning och backup. Åtgärder som ser till att personuppgifter faktiskt är skyddade, inte bara på papper.
Policies och rutiner
Integritetspolicy, cookiepolicy, rutiner för incidenthantering och rättighetsförfrågningar. Vi tar fram dokument som är anpassade efter er verksamhet, inte generiska mallar.
Utbildning och medvetenhet
GDPR-utbildning anpassad efter olika roller i organisationen. Vi erbjuder allt från grundläggande medvetenhet för alla medarbetare till fördjupning för de som hanterar känsliga uppgifter. Kan kombineras med utbildning i cyberhygien.
Leverantörsgranskning
Många personuppgiftsincidenter uppstår hos leverantörer. Vi hjälper er ställa rätt säkerhetskrav i upphandlingar och granska att leverantörer som hanterar personuppgifter har ett tillräckligt skydd.
Dataskydd och informationssäkerhet hänger ihop
Mycket av det som GDPR kräver är i grunden god informationssäkerhet. Arbetar ni redan med ISO 27001 eller förbereder er för cybersäkerhetslagen har ni kommit längre med dataskyddet än ni kanske tror.
De tre regelverken överlappar på flera viktiga områden:
Riskanalys
Alla tre kräver systematisk riskhantering
Åtkomstkontroll
Begränsa vem som kommer åt känslig information
Incidenthantering
Rutiner för att upptäcka och rapportera incidenter
Leverantörskrav
Säkerhetskrav på tredjeparter som hanterar era uppgifter
Dokumentation
Policyer, rutiner och spårbarhet
Utbildning
Medvetenhet hos personal
Det innebär att ni inte behöver bygga tre separata spår. Vi hjälper er hitta ett sammanhållet arbetssätt där dataskydd, informationssäkerhet och regelefterlevnad stöder varandra.
De viktigaste GDPR-kraven
GDPR gäller alla organisationer som behandlar personuppgifter. Det gör i princip alla. Här är de viktigaste områdena att ha koll på.
Laglig grund
Varje gång ni behandlar personuppgifter behöver det finnas en giltig anledning, exempelvis ett avtal, samtycke eller ett berättigat intresse. Det gäller oavsett om det handlar om kundregister, lönehantering eller nyhetsbrev.
Öppenhet och information
De personer vars uppgifter ni hanterar har rätt att veta vad ni gör med dem. Det innebär tydlig information i integritetspolicyer och vid varje tillfälle då ni samlar in uppgifter.
Registrerades rättigheter
Kunder, anställda och andra har rätt att se vilka uppgifter ni har om dem, begära rättelse eller radering, och i vissa fall flytta sina uppgifter. Ni behöver rutiner för att hantera sådana förfrågningar.
Säkerhet
GDPR kräver att ni skyddar personuppgifter med lämpliga tekniska och organisatoriska åtgärder. Det här är kärnan i vad vi hjälper er med: konkreta åtgärder som faktiskt skyddar uppgifterna.
Sanktioner vid bristande efterlevnad
eller 4% av global omsättning för allvarliga överträdelser
eller 2% av global omsättning för övriga överträdelser
I Sverige har Integritetsskyddsmyndigheten (IMY) utfärdat sanktionsavgifter mot både privata och offentliga organisationer. Det behöver inte handla om miljonbelopp. Även mindre överträdelser kan leda till tillsynsärenden och kostsamma åtgärdskrav.
Så arbetar vi
En strukturerad metod anpassad efter er storlek och mognad.
Kartläggning
Vi går igenom er verksamhet och identifierar var personuppgifter behandlas, vilka system som är inblandade och vilka flöden som finns. Det ger en tydlig bild av nuläget.
Nulägesbedömning
Vi bedömer hur väl ert nuvarande arbetssätt uppfyller GDPR:s krav, med fokus på de praktiska och tekniska delarna. Ni får en ärlig bild av var de viktigaste bristerna finns.
Åtgärder
Tillsammans tar vi fram och genomför de åtgärder som behövs: policies, rutiner, tekniska skyddsåtgärder och utbildning. Vi prioriterar utifrån risk och vad som ger mest effekt.
Löpande stöd
Dataskydd är ett pågående arbete. Vi hjälper er följa upp, hålla dokumentationen aktuell och anpassa rutinerna när verksamheten eller regelverket förändras.
Vår styrka ligger i de praktiska och tekniska delarna av dataskyddet, det som överlappar med informationssäkerhet. Vid mer komplexa juridiska frågor rekommenderar vi att ni kompletterar med juridisk dataskyddsrådgivning. Det gäller exempelvis bedömning av rättslig grund för specifika behandlingar eller överföring av personuppgifter till länder utanför EU.
Osäkra på var ni står med dataskyddet?
Boka ett kostnadsfritt samtal så pratar vi igenom er situation. Vi ger er en ärlig bild av vad ni behöver och hur vi kan hjälpa till.