GDPR efterlevnad

GDPR – inte ditt ansvar som IT-chef men din uppgift

När GDPR-frågan hamnar på den IT-ansvariges bord skapar det, högst förståeligt, en del frustration. Det är helt enkelt inte rimligt att det faller på en eller ett par individer att veta varför organisationen samlar in, behandlar och kanske till och med delar sina data. Inom HR och lön är hanteringen av personuppgifter i högsta grad relevant och aktuell, liksom för många andra delar av organisationen. Därför är det viktigt att involvera fler i arbetet med att säkerställa att den nya dataskyddsförordningen efterlevs. Men vem bär då egentligen ansvaret? Och vad bör den IT-ansvariges faktiska uppgift vara i arbetet med GDPR?

Vem bär egentligen ansvaret för GDPR?

Kort och gott är svaret på ansvarsfrågan enkelt – ansvaret ligger hos ledningen. Företagets företrädare måste veta var och varför persondata samlas in och behandlas, vilka data det handlar om samt vilken legal grund man har för att göra det.

Men trots att ansvaret inte ligger på IT-avdelningen, blir det ofta där uppgiften att implementera GDPR-efterlevnad i en organisation hamnar. Alla funktioner i ett företag använder sig av en växande flora av olika IT-system ute i verksamheten. Det anses ofta vara IT-avdelningens uppgift att säkerställa inte bara IT-driften utan också att de personuppgifter som används i dessa system hanteras konfidentiellt, är tillgängliga och att de skyddas mot eventuella intrång. Som IT-ansvarig ingår också att säkerställa att du får ta del av all relevant information som krävs och har rätt förutsättningar för att du ska kunna leda arbetet för teknisk compliance.

Involvera alla som hanterar personuppgifter i GDPR-arbetet

Ett viktigt första steg är att upprätta rutiner som beskriver hur och i vilka processer din verksamhet behandlar persondata. Rutinerna bör även omfatta typiska ansvarsområden för IT såsom användaradministration, kryptering, loggning och så vidare. Det är viktigt att även göra en kartläggning av vilka system och processer som påverkas av GDPR. För HR och lön handlar det exempelvis om lönesystemet och alla andra system och applikationer som hanterar uppgifter om de anställda. Ett effektivt sätt att kartlägga processerna är att genomföra en gap-analys där företrädare för respektive avdelning redogör för hur deras hantering av persondata ser ut. På så sätt får du en god överblick på nuläget och kan lättare ta ställning till vilka åtgärder som krävs för att verksamheten ska kunna efterleva GDPR.

För att få tillgång till samtlig information om hur data behandlas inom en organisation är det naturligtvis viktigt att alla de delar av verksamheten som hanterar personuppgifter är medvetna om vad det innebär. En förutsättning är att arbetet samordnas och inkluderar flertalet avdelningar i verksamheten, i nära samarbete med IT.

Kartlägg hanteringen i din organisation

I större och geografiskt spridda organisationer är det inte ovanligt att flera olika IT-system används för ett och samma ändamål, ofta beroende på att personer som jobbar inom samma enhet sitter placerade på olika orter. Systemen är ibland integrerade med varandra, men kan lika gärna vara stand-alone-lösningar. Det är därför avgörande att ta reda på exakt vilka system som används för vilka data, samt att se till att uppgifterna är spårbara. Där igenom kartläggs även eventuella brister. Exempel på sådana brister kan vara att information om hantering helt saknas eller är ofullständig. Andra riskområden kan vara om insamlandet och hanteringen av persondata saknar legal grund eller på annat sätt strider mot GDPR. Ett exempel skulle kunna vara om HR inte kan påvisa samtycke för att de anställdas personuppgifter hanteras i företaget.

Följande frågor kan vara bra att ha som utgångspunkt när du gör kartläggningen:

  • Vilken typ av persondata hanterar vi?
  • Hur klassificerar vi dem (det vill säga: hur känsliga är de)?
  • Vilka delar av dataskyddsförordningen omfattas våra lagrade data av?
  • Vad har vi för rättigheter att lagra och behandla dessa data?
  • På vilka sätt behandlas persondata av våra IT-system?

Samverkan mellan HR och IT underlättar arbetet avsevärt

Att ta sig an uppgiften att säkerställa att GDPR efterlevs kan vid blotta anblicken kännas övermäktig för dig som leder arbetet inom IT-avdelningen. Men med en tydlig struktur och ett nära samarbete med den övriga organisationen underlättas arbetet avsevärt. Se därför till att arbeta fram rutiner och processer gemensamt med HR och övriga avdelningar som hanterar personuppgifter.

I korthet kan målet med ert gemensamma GDPR-arbete sammanfattas i tre punkter:

  1. En tydlig insikt om varför data samlas in, hur de används samt hur länge de ska lagras.
  2. Tydliga rutiner och processer för att säkerställa att samtliga personuppgifter kan identifieras och spåras, och för hanteringen av och säkerheten kring dem.
  3. God transparens och tydliga rutiner för att hantera samtycke så att glappet mellan företaget och den vars uppgifter registreras kan överbryggas på ett bra sätt.

Givetvis krävs även omfattande och mer djupgående kunskaper om det nya regelverket för att hela verksamheten ska kunna efterleva GDPR fullt ut, men finns dessa rutiner och processer på plats har du kommit en god bit på vägen.

Mer om det som brukar kallas för ”nya PUL” hittar du på Datainspektionen site

Läs också fem tips från Aditros Jani Räty, om hur du bör tänka kring säkerhet när du väljer SaaS-leverantör.

På Aditro tar vi ett stort ansvar när det gäller datasäkerhet och i det ingår ett gediget arbete med GDPR. Vill du veta mer om hur vi hjälper våra kunder säkerställer GDRP i sina kunders deras löneprocesser?

Kontakta oss gärna här eller ladda ner vårt white paper om GDPR för lön och HR  här.