10 tips inför GDPR - del 1

Införandet av EU:s nya dataskyddsförordning "General Data Protection Regulation", GDPR närmar sig i snabb takt. Vi på Episerver vill gärna dela med oss av de förändringar som vårt företag genomför i samband med detta. Vi nöjer oss inte med att våra Digital Experience Cloud-kunder ska bli GDPR-kompatibla, utan arbetar för att de ska vara ledande inom de delar av GDPR som rör digital marknadsföring, e-handel, personalisering och kampanjer.

Under de närmaste veckorna och månaderna kommer du att se whitepapers, presentationer och annat material från oss som diskuterar olika delar av GDPR och vår resa mot att efterfölja GDPR. Du kommer även att kunna läsa om hur våra kunder och partners kananvända Digital Experience Cloud för att snabbt möta sina egna krav på GDPR.

Som en försmak av vad som kommer framöver från Episerver vill jag dela med mig av tio viktiga punkter som du bör tänka på när ditt företag närmar sig GDPR.

1. Förstå hur din organisation styrs och skaffa ett brett stöd från hela organisationen

Få med dig intressenter på högsta nivå - om   ledningsgruppen har integritet som en viktig prioritet, så sätter det tonen för integritet och regelefterlevnad. Implementera en integritetsstrategi eller skapa ett verksamhetsmål om integritet. Medverkan och stöd från chefer kommer att främja och driva regelefterlevnadsprocessen framåt genom att uppmuntra engagemang och utbildning samt att uppdrag och ansvar fördelas. Att upprätthålla riktlinjer för data- och integritetsskydd kommer att påverka din organisations dagliga verksamhet.

 

Episerver har en Styrelse för certifiering, compliance, data- och integritetsskydd som har regelbundna möten där den högsta ledningen och andra viktiga intressenter deltar.

_______________________________________________

 

Tillsätt nyckelpersoner - när du väl har ledningens stöd, se till att du har ett team av nyckelpersoner som kommer att driva det dagliga genomförandet och styrningen av ditt data- och integritetsskydd. Det är optimalt att varje del av organisationen deltar. En viktig person i ett företags ledningsstruktur är det utvalda dataskyddsombudet. Detta är en nyckelroll för GDPR och om det är uppenbart varför din organisation inte behöver ha ett ombud så behöver ni dokumentera orsaken till beslutet.

Hos Episerver har vi styrgrupper för informationssäkerhet och dataskydd som jobbar på uppdrag av styrelsen och har utsett ett dataskyddsombud för hela Episervers koncern samt ombud för olika dotterbolag.

 

2. Förstå din data och hur den behandlas

En av de första uppgifterna som ett företag ska hantera är att kartlägga sin data för att förstå hur den färdas genom ditt företag. Detta inkluderar följande nyckelfrågor:

  • Vilken typ av data samlas in? Är det personuppgifter?
  • Vem samlar in eller använder uppgifterna?
  • Var samlas, används, lagras och överförs data?
  • När samlas, används, lagras och överförs data?
  • Hur samlas, används, lagras och överförs data?
  • Varför samlas, används, lagras och överförs data?

Om du vet svaren på dessa frågor och kartlägger dem så förstår du hur företaget samlar in, lagrar, använder och överför data. Detta gör det möjligt för ditt företag att spåra hur datan färdas och se till att uppgifterna är korrekt klassificerade, ha en grundlig och kontinuerlig registrering samt meddela relevanta myndigheter. Denna kunskap gör det möjligt att bedöma den rättsliga grunden för databehandling och se till att den mest lämpliga behandlingen används vid varje tillfälle.

Vissa företag har investerat i ett NIST:s ramverk, ISO27001, ISO270018 eller SOCII. Om dessa ramverk har implementerats så kommer det att snabba på din GDPR-resa avsevärt. Episerver använder arbetet med vår ISO-certifiering samt riktlinjer för genomförande och praxis för NIST-standarder för att skynda på vår egen GDPR-resa.

 

Episerver använder arbetet med vår ISO-certifiering samt riktlinjer för genomförande och praxis för NIST-standarder för att skynda på vår egen GDPR-resa.

_______________________________________________


3. Dataintegritet och skydd är en del av den dagliga verksamheten 


Under GDPR så har företag en ny juridisk ansvarsskyldighet att följa lagen. Som personuppgiftsansvarig eller personuppgiftsbiträde måste företag visa att detta sker enligt GDPR. Det betyder att beslut och behandlingsaktiviteter ska dokumenteras.

Dataskydd och inbyggd integritet - En nyckelkomponent i GDPR är dataskydd och inbyggd integritet. Det innebär att dataskydd och integritet ska ligga i framkant av lösningar, implementeringar och teknik som företaget skapar eller inför. Detta är ännu en anledning till att det är viktigt att ha en specifik riktlinje på plats. Webbdesigners, arkitekter och utvecklare ska bedöma dataskydd och integritetspåverkan vid idéstadiet, skapandet eller genomförandet, inte vid fullbordandet. Under GDPR måste ditt företag dokumentera och motivera varför en konsekvensbedömning (PIA) gjordes eller inte gjordes.

Skydd, integritet och juridiska överväganden - Företag som har en tydlig och sammanhängande process på plats kommer att dra nytta av möjligheten att tidigt bedöma, hantera och reagera på frågor om integritet. Funktioner för integritet och juridik ska ha en plats när beslut om innovation eller utveckling fattas och när ett problem uppstår. Jag tar upp mer om detta längre fram.

Ansvar inom andra avdelningar/organisationer - Företag måste granska alla riktlinjer och metoder för att säkra att de tar med integritetskraven och, vid behov, uppdatera dem för att efterleva reglerna. Detta innebär att anpassa alla riktlinjer, inklusive riktlinjer för lagring av information och kontrakt, marknadsföring, spårning/kakor/analys, samtycke, personlig integritet, annonsmetoder, devices, sociala medier samt hosting/drift.

Som tidigare nämnts är dataskydd och inbyggd integritet en hörnsten i Episervers mjukvaruutveckling och managed services. Vi granskar och inför nya riktlinjer varje vecka och gör GAP-analyser i varje del av organisationen för att inte bara säkra att vi efterlever GDPR, utan även vår drivkraft att vara branschledare inom informationssäkerhet, integritet och skydd.

Under GDPR companies have new legal accountability obligation to the law.  As either data controllers or processors, companies need to demonstrate that such data control and/or processing occurs as the GDPR intends, requiring decisions and processing activities to be documented.


4. Håll dig informerad, utbilda dig och dela med dig

Det är uppenbart att det inte bara är ditt dataskyddsombud, styrelsen eller efterlevnadskommittéer som behöver hållas informerade och utbildas kontinuerligt. Företag drar nytta av att skapa iterativa uppgiftsspecifika utbildningar, juridiska och kommersiella uppdateringar och generell medvetenhet om integritet. Företag behöver bevisa hur de faktiskt efterlever utbildningsaspekten i GDPR. De behöver visa att resurser och anställda har kompetens och en medvetenhet om den integritetslagstiftning som är relevanta för deras ansvarsområde.

En av de förpliktelser som ditt dataskyddsombud har, är att "höja medvetenhet hos och utbilda personal som är inblandad i bearbetningsprocessen". Andra certifieringar och regler, som Privacy Shield, inkluderar skyldigheter gällande utbildning. Självklart kan du inte utbilda alla om lagen eller hela GDPR. Därför rekommenderar vi att du sammanfattar GDPR-principerna för de delar av organisationen och uppgifter som handlar om att vara personuppgiftsansvarig och/eller personuppgiftsbiträde.


Episerver har, genom sitt dataskyddsombud och styrelse, pågående utbildningar, utbildningsserier och årliga diskussioner kring säkerhet, dataskydd och integritet.

_______________________________________________

Möten hålls också med varje arbetsgrupp inom Episerver, baserat på GDPR, ISO och andra krav på lagstiftning/certifiering som är specifika för den gruppen.


5. Förbered dig för informationssäkerhetsrisker och händelser 

För att vara förberedda och mildra eventuella informationssäkerhetsrisker/händelser bör alla delar av ett företag ha en informationssäkerhetspolicy som uppdateras regelbundet. Du bör se till att du har tydliga åtgärder och strategier för att skydda personuppgifter och förhindra att de förloras. Kryptering, pseudonymisering, dataskyddsstrategi samt restriktiva behörighetsriktlinjer är ett måste. Här är ännu ett tillfälle där ISO-certifiering hjälper till att uppnå detta. Företag bör åtminstone anpassa sig till en erkänd säkerhetsstandard.

Genom den ISO-certifiering som Episervers företag har, samt de ISO-certifieringar som alla Episervers företag nu söker, så har riktlinjer och metoder införts och praktiserats kring dessa typer av riskreducerande steg och policyer.

Läs del två av GDPR-tops