Hur anpassar du din organisation till GDPR

Att GDPR skall införas har vi alla blivit medvetna om vid det här laget. Men att gå från förståelse till aktiv handling är alltid en utmaning. speciellt I detta fall där vi har en lagstiftning som är så genomgripande på så många plan och hela organisationen måste på någon del förstå vad den innebär.

Med denna artikel sammanfattar vi vår uppfattning kring hur man får störst lycka I sitt införande av GDPR.

Start av ert GDPR-projekt.

Projekt, aktivitet, eller på sidan om. Det är frågan. Grundregeln är att ju ledningen bör vara medveten om vad detta innebär. Kommer man igång som en en mindre aktivitet. Se till att få ledningens uppmärksamhet längre fram för att visa på vad som skall göras.

Steg 1. Information och medvetande

Informera, informera, informera. Många organisationer är inne I denna fas just nu (Q1 2017). Viktigt I denna fas är att få alla fakta rätt kring lagen och bygga en förståelse för vilka konsekvenser det kan få för min organization. Det viktigaste I denna fasen är nog att väcka intresset och se till att alla I organisationen som borde vara medvetna om lagens påverkan ha r tagit till sig infomrationen och förstått.  Se till att utbilda dig och dina medarbetare. Gå ut aktivt och sök information, skapa ett nätverk som håller dig uppdaterar om GDPR

Steg 2. Första bedömning om påverkan

Nu har vi kommit igång. Med Lagen som rättesnöre kan vi börja att bena ut vilken påverkar som GDPR har på verksamheten egentligen. För att kunna göra det så behövs en kärna av organisationens kompetens samlas. De grundkompetenser som behöver fyllas upp med är:

  • IT-ansvarig/IT-arkitekt
  • Juridiskt kompetent
  • Ansvarig för säkerhet

Målet med denna sittning är att tillsammans få en bild över vilka krav GDPR staller på organisationen. Översiktligt fundera krign vilka processer man arbetar I och börja staka ut vägen framåt.

Steg 3. Nulägesanalys

Vilken data har vi vart? Ett av de tyngsta arbeten I den initiala fasen är att identifier vilka personuppgifter som vi redan har I organisationen. Här kan vi göra arbetet manuellt genom att gå igenom datakällor tillsammans med olika delar av organisationen. IT-Arkitekter har oftast god uppfattning om vilken data som finns I respective databaser. Finns arkivarier I .organisationen. Lyssna av med anställda I olika positioner. fyll på.

Det börjar även att komma fram ett antal verktyg för att automatiskt söka upp data I strukturerade såväl som ostrukturerade informationskällor. Mer information om dessa finns I andra artiklar på detta forum.

Jobba med någon av de checklistor som finns för att säkerställa att alla frågor kommer med I nylägesanalysen. På detta forum finns ett antal checklistor publicerade som kan vara referenser.

Steg 4. Verifiera bedömningar och prioritera åtgärder

Arbetet fram till nu har varit mycket av en förstudie inför det stora arbetet.  Idntifiering av vad som måste göras och hur man skall ändra sitt arbetssätt. Som alltid kommer man att tvingas till prioriteringar.  Värt att fundera kring I dessa sammanhang är vilken ansats man har som organization:

  • Hoppas på att slippa tillsyn och skadestånd?
  • Hinna exakt till 25 maj 2018?
  • Visa att kundernas förtroende är strategiskt viktigt?

Beroende på val av strategi kommer det avspegla hur stor budget och prioritet I organisationen GDPR arbetet kommer att kräva.

Stäm av med Jurist/Ledning. Kontrollera resulatet mot Lagtexten om slutsatserna är rimliga

Steg 5. Starta projektet

Nu påbörjas resan. beroende på inriktning och budgetläge tar det olika lång tid.

By | 2017-03-16T16:59:27+00:00 februari 19th, 2017|Categories: Uncategorized|0 Comments

About the Author:

Fredrik Jonasson är delägare i IT-säkerhetsbolaget och föreläser och utbildar kring GDPR.

Leave A Comment