Vgledning 5 steg fr att flja Dataskyddsfrordningen 4

Vägledning 5 steg för att följa Dataskyddsförordningen 4 3 2 1 Starta Inventera nuläget Planera Sätt igång 5 Gå i mål

Introduktion Den 25 maj 2018 blir dataskyddsförordningen svensk lag, Dataskyddslagen, och ska börja tillämpas. Dataskyddslagen gäller alla som behandlar personuppgifter såsom myndigheter, företag, kommuner, föreningar och enskilda. Dataskyddslagen kommer att ersätta svenska personuppgiftslagen (Pu. L). Vägledning Denna vägledning tar upp 5 steg för att följa dataskyddsförordningen och är kopplade till datainspektionens ” förberedelser för personuppgiftsansvariga” 13 - frågor 1 Starta 2 Inventera nuläget 3 Planera 4 Sätt igång 5 Gå i mål

1 Starta 2 Inventera nuläges 3 Planera 4 Sätt igång 5 Gå i mål Medvetandegöra! Engagera ledningen, nyckelpersoner och medarbetare. Organisationen behöver förstå vad dataskyddsförordningen innebär och vilken förändring som är på gång. 1 Starta En strategisk möjlighet Genom att i god se till att kommunen följer Dataskyddslagen kan kommunen kommunicera utåt att i våran kommun skyddas alla personer som berörs av er verksamhet, vare sig det rör sig om brukare, anställda, klienter eller kommuninvånare. Forma arbetsgruppen Vilka personer i er organisation hanterar personuppgifter? Forma gruppen som ska genomföra processen att uppfylla Dataskyddslagen

4 3 2 1 Sätt igång 5 Gå i mål Planera Inventera nuläges Starta Har kommunens IT-system inbyggd skydd för personuppgifter i ITsystem privacy by design? Det ger en större möjlighet att följa reglerna, höja säkerheten och förhindra onödiga framtida kostnader, Vilka säkerhetskrav krävs för uppgifterna Inventera och dokumentera personuppgiftsbehandlingar Strukturerad material/data: Vad finns i verksamhetssystem, ärende- och dokumenthanteringssystem? Var ITstöd finns geografiskt Vilka personuppgifter hanteras i molnet? Hur samlas de in och till vem uppgifternas lämnas ut? Ni kan därför redan nu kartlägga vilka behandlingar ni genomför och med vilken rättslig grund ni gör detta Ostrukturerat material/data (missbruksregel) Vad har medarbetarnas lokalt på deras datorer eller telefoner? Vad finns i Word och Excel-dokument? Vad finns i epostsystem? Vad finns på papper? , vad innehåller den löpande texten på kommunens hemsidor och sociala medier? 2 Inventera nuläget Inventera, uppdatera och upprätta juridiska dokument Styrdokument: personuppgiftpolicys Riktlinjer – samtyckehantering (på vilket sätt ni inhämtar samtycke, vilken information ni lämnar och hur ni sparar uppgiften om att samtycke har lämnats av den registrerade. ) Rutiner: information som ska lämnas till de registrerade, begäran om rättelser, raderar personuppgifter, hur ni lämnar ut uppgifter elektroniskt i ett allmänt använt format. Personuppgiftincident, Avtal – personuppgiftbiträddesavtal, leverantörsavtal

1 Starta 2 Inventera nuläges 3 Planera 4 Sätt igång 5 Gå i mål Säkra alla tjänster och leverantörer Begär underlag från IT-underleverantörer hur de behandlar personuppgifter och hur de kommer att stödja Dataskyddslagen (det ska vara så detaljerat som möjligt). Det gäller även när de omfattas av biträdesavtal. Se upp för friskrivningar! De här kan hjälpa dig med olika tjänster eller verktyg: – Advokater med inriktning på Dataskyddslagen. – IT-experter med ”privacy” och säkerhets inriktning. – Leverantörer av färdiga lösningar anpassade för dataskyddslagen. 3 Planera Lista allt som behöver göras i en åtgärdsplan Vad behöver vi göra för att skydda individen enligt Dataskyddslagen?

4 3 2 1 Sätt igång 5 4 Sätt igång Gå i mål Planera Inventera nuläges Starta Vilket beteende behöver ändras? Eftersom vi nu ”lånar” informationen från den registrerades krävs det att leverantörer, processer och anställda förstår och stöder detta. Det innebär ett annat beteende och gamla rutiner behöver göras om. Vad behöver förändras hos er? Nya system utvecklas med inbyggd integritet Alla nya rutiner och IT-system behöver vara byggda från grunden att införliva principerna om dataskydd och integritet genom design (Privacy by Design). Hur ska ni säkra att det görs och efterlevs? Vem ska göra vad? Utgå från åtgärdslistan som skapades i steg 3. Fördela uppgifter, prioritera och sätt tidplan på när det ska vara utfört. – Vad ska prioriteras? – Vem är ansvarig? – När ska det vara klart? – Hur ska det dokumenteras? Var proaktiv för risker Även om säkra tekniska lösningar kan bidra till att minska risken för externa skadliga hot, kommer det inte att skydda mot den mänskliga faktorn. Vilka risker är relevanta för oss?

5 Gå i mål 1 Starta 2 Inventera nuläges 3 Planera 4 Sätt igång 5 Gå i mål Om Ni genomfört steg 1– 4 har du anpassat ert sätt att hantera personuppgifter till Dataskyddslagen. Kommunen tillhör nu de goda organisationen som skyddar individens rättigheter. Alla ansvariga hos er: – har kontroll på hantering av personuppgifter – vet hur den behandlas lagras och säkras och har dokumentation på det. Alla medarbetare vet: – att vi lånar alla personuppgifter, och vi hanterar dem därefter. – att skydda våra kunder och deras information är en central del i vår verksamhet.