25e Maj 2018 är inte långt borta, speciellt om Ni fortfarande inte har en plan och börjat arbetet med att bli GDPR kompatibla. Men det finns en del uppgifter och delmål Ni kan prioritera för att i alla fall kunna få ihop ett någorlunda underlag att visa upp ifall Datainspektionen knackar på 08.00 den 25e Maj (kanske inte helt troligt då Datainspektionen har begränsade resurser men GDPR är dock en lag som måste följas och kontroller kommer att ske).

  • Utse någon som är kontaktperson kring frågor som gäller GDPR. Han eller hon kommer inte vara ansvarig men den som anställda och externa parter kan hänvisas till vid frågor. Se till att denna person har ett intresse! GDPR ska inte vara ett straff för någon. Denna person bör även ha kapacitet att sätta sig in i GDPR med start från idag.
  • Granska och uppdatera dokumentation av system och infrastruktur. Dokumentationen är ett levande dokument men som vi vet är den inte alltid 100% uppdaterad. Men en fräsch dokumentation bör finnas och förhoppningsvis inte ta många timmar att få till. Att ha en fungerande dokumentation är egentligen inte endast ett krav för GDPR så detta bör vara enkelt att prioritera. Ni ska kunna uppvisa att Ni gjort vad som krävs för att skydda personuppgifter.
  • Kör en kortare utbildning internt om vad GDPR är. Cirka 2h bör räcka för de flesta att alla fall förstå grunderna. Även receptionisten ska veta vad GDPR är om någon ringer in och har ett ärende som berör GDPR. De som jobbar med personuppgifter ska kunna GDPR på en djupare nivå men den kunskapen överföras löpande.
  • Dokumentera underleverantörer på de system/ tjänster som lagrar personuppgifter då det är Ni som bolag som ansvarar för att de följer GDPR. GDPR tillåter inte att man pekar på någon annan som ansvarig. Skicka gärna fråga till dessa; Vad gör Ni för att följa GDPR?
  • Incidentprocess – Vilken funktion rapporterar in misstänkt läckage av PII (Personally identifiable information)? Ska ske inom 72h från att det upptäcks. Se till att den processen inte är personberoende och att den finns dokumenterad och kommunicerad. Förslag är tex helpdesk eller incident manager om sådan finns.

Med ovan fem punkter är Ni på god väg. Sen finns en hel del annat att önska (och utmaningar) för att vara GDPR compliant. Tex dessa, men inte begränsat till listan nedan.

  • Gå igenom och designa eventuellt om Era backuper. Rätten att bli glömd gäller överallt i systemen. Inklusive i backup. Därför bör personuppgifter ej backas till band då uppgiften i realitet blir ohanterligt den dagen då någon vill att Ni raderar allt om denna person.
  • Dokumentera var personuppgifter lagras och vilka system som föder andra system. GDPR säger att lagring och spridning av personuppgifter ska minimeras.
  • Begränsa access till personuppgifter. Istället för rollbaserade rättigheter bör kanske attributbaserad access implementeras (ABAC). Med ABAC kan Ni även kontrollera att personer utanför EU/ EES ej kommer åt personuppgifter.
  • Vem gör vad och vem ansvarar för vad i organisationen? En workshop där en RACI (Responsibility Assignment Matrix) skapas. Arbetet kan få ganska många att höja på ögonbrynen och ge klarhet i mer än bara GDPR och ansvar kring personuppgifter.
  • Större organisationer bör skapa en SOC (Security Operation Center) om det inte redan finns och mindre bolag kan köpa SOC som tjänst för att inte tynga interna resurser med att läsa loggar. SOC som tjänst är inte så dyrt som många tror.
  • Ska kontaktperson även agera Datsskyddsombud/ DPO (Data Protection Officer) om krav på detta finns på Er organisation? Denna roll går att köpa som tjänst och kan i vissa fall vara att föredra då externa personer inte har något förflutet i bolaget och med andra ord inte har någon anledning att dölja något eller riskera att bli obekväm och straffas för detta på samma sätt som anställda.
  • Finns någon IDS (Intrusion Detection System) eller liknande implementerad? Hur vet Ni att intrång skett och eventuellt förlust av personuppgifter?

Ja listan kan göras mycket längre men det mesta baseras på sunt förnuft och funktioner/ tjänster som redan borde finnas på plats. Kom ihåg dock att inte göra Ert GDPR projekt för stort. På mindre bolag kan arbetet vara klart på ett par dagar (på enmansbolag tom några få timmar) medans i stora koncerner flera år och enorma resurser. Viktigast är att Ni påbörjat arbetet och förstår att GDPR inte har något slutdatum. Även GDPR dokumentationen är levande!

 

Juha Nikumaa
juha.nikumaa@rtsab.com
Konsult & GDPR-ansvarig RTS AB