Det är inte långt kvar till den nya dataskyddsförordningen – GDPR – träder i kraft och det är säkert många som arbetar med att se över sin persondata just nu. För dig som ännu inte kommit igång har jag några tips på hur du kan gå tillväga och vad du bör tänka på.
1. Gör en översyn över vilka personuppgifter ni har
En bra start är att se över vad för persondata man faktiskt har sparad. Det kan låta som en enkel uppgift men tänker man efter är det oftast flera system och lösningar (ofta från flera leverantörer) där data är sparad på många olika ställen (notera att lagen lägger olika ansvar om man har data lagrad i molnet eller lokalt på exempelvis egen server). Man måste också vara uppmärksam på att personuppgifter kan finnas i allt från kundregister, leverantörens anteckningar, fritextfält och bifogade bilder. Lägg sedan till att en enskild personuppgift i ett referensfält kan vara mer känslig tillsammans med en fakturabild av exempelvis en sexleksak.
2. Klassificera och “städa” dina personuppgifter
När du vet vilka personuppgifter företaget har bör du fråga dig vilken data som ska sparas (enligt till exempel bokföringslagen finns det krav på hur länge bokförings- och fakturaunderlag ska sparas). Även om man ska spara persondata bör du fundera på om företaget bör begränsa sin data. Kanske bara en viss person ska ha tillgång till en viss kund eller lönekonto? Viss typ av data i exempelvis CRM-system kan även kräva kundens tillåtelse att använda kundens data för ett visst syfte.
3. Se till att du kan ta ut persondata vid förfrågan
Enligt GDPR ska man kunna begära att få ut personuppgifter som finns sparade om en själv. Det kan lätt bli ett tidskrävande arbete att leta igenom sina system efter en viss persons data. Se därför till att ha en lösning för hur ni hanterar detta – gärna inbyggt i systemen.
4. Skapa rutiner för att hantera persondata
Ha bra och tydliga rutiner för att säkerställa att persondata bara finns där den ska finnas och begränsa rättigheter. Gör det till en återkommande rutin att se över om persondata bör raderas, anonymiseras, loggas eller begränsas. Se till att det finns roller och ansvarsområden så att persondata och avvikelser hanteras riktigt.
5. Be om hjälp
Det är inte lätt att ha koll på alla delar av GDPR. Kanske finns det en jurist i ditt företag som kan ge vägledning. Kanske kan en konsult hjälpa till att hitta persondata eller sätta rättighetsstyrningar och liknande. För exempelvis Visma Control erbjuder vi ett tjänstepaket för GDPR, där vi hjälper kunder att radera data, sätta loggning med mera. Det är också en bra idé att uppgradera systemen med de senaste funktionerna för ett fullgott GDPR stöd.
På Visma Trust Centre kan du läsa hur vi arbetar med GDPR, integritet och säkerhet.