10 tips inför GDPR - del 2

Del 2 av hur Episerver genomför förändringar i samband med att EU:s nya dataskyddsförordning "General Data Protection Regulation", GDPR, närmar sig. Vi nöjer oss inte med att våra Digital Experience Cloud-kunder ska bli GDPR-kompatibla, utan arbetar för att de ska vara ledande inom de delar av GDPR som rör digital marknadsföring, e-handel, personalisering och kampanjer.

I förra inlägget tog jag upp fem viktiga saker att tänka på:

  1. Förstå hur din organisations styrs och skaffa ett brett stöd från hela organisationen
  2. Förstå din data och hur den behandlas
  3. Dataintegritet och skydd är en del av den dagliga verksamheten
  4. Håll dig informerad, utbilda dig och dela med dig
  5. Förbered dig för informationssäkerhetsrisker och händelser

Vi fortsätter att diskutera de återstående tankarna kring att efterfölja GDPR.

6. Leverantörer, tredje parter och andra som du bör prata med


GDPR-förpliktelserna förflyttas inte bara internt. Företagen bör se till att dataskydd och integritetsbehov återspeglas i alla kontrakt med tredje part samt att företagsbesiktning alltid görs. Var beredd på att säkra att företaget har en riktlinje eller metod för att hantera bristande efterlevnad av dataskydd och integritet. Regelbundna granskningar och uppdateringar av kontrakt med tredje part bör genomföras för att säkerställa att de har efterlevnad med gällande integritetslagar. Det ska självklart vara rimligt, krav på din betalningsleverantör ska till exempel skilja sig från kraven på din leverantör av drifttjänster.


Episerver ser till att alla relevanta leverantörer tecknar ett avtal som säkerställer efterlevnad av dataskydd och integritetssregler, med hjälp av mekanismer som ett databehandlingsavtal.

___________________________________________

7. Förstå vad underrättelser och samtycke är och se till att du gör rätt

 

Företagen måste se till att nuvarande kommunikation och interaktioner med individer säkerställer att personerna, vid alla punkter där uppgifter samlas in, meddelas och informeras om användningen av deras information, inklusive om spårning och/eller automatiserad behandling används. I de flesta fall krävs samtycke enligt GDPR, så företag måste också bedöma hur det uppnås och bevisas. Du bör kontrollera att individer enkelt kan registrera och avregistrera sig, prenumerera eller avprenumerera på eventuella e-postmeddelanden och se till att sådana mekanismer faktiskt fungerar. Detta är en av de största sakerna som datatillsynsmyndigheterna kommer att leta efter och uppmärksamma.

Episerver ser till att våra egna interaktioner följer strikta riktlinjer för samtycke och metoder för registrering/avregistrering, och granskar effektiviteten kontinuerligt. Vidare så kommer Episerver att publicera bästa praxis för kunder och partners för att hjälpa dem med deras efterlevnad av detta.

 

8. Förstå de personliga rättigheterna och värna om dem


Under GDPR har individer (kända som registrerade) många rättigheter som de när som helst kan utöva i deras relation med ditt företag. För att förbereda dig på detta bör du förstå vilka typer av begäran som din organisation kan få och se till att det finns en mekanism för att hantera dessa. De måste vara medvetna om sina rättigheter, enkelt kunna begära information från företaget och även kunna begära "rätten att bli glömd". Vanliga frågor, webbplatsinstruktioner och specifik kommunikation (t.ex. e-post) är användbara för att säkra att enskilda personer får rätt kontakt och snabbt får hjälp med förfrågningar. Vanligtvis när företag bryter mot bestämmelserna om dataskydd och integritet så handlar det om rättigheter och skydd av enskildas rättigheter. Därför bör de registrerade alltid spela en central roll i beslutsfattandet gällande kommunikation och interaktion med registrerade.

Som du kan se i vår Privacy Policyhar Episerver tydliga anvisningar och metoder för att uppfylla krav på begäran från registrerade, samt en tydlig modell för samtycke och borttagning av information om det behövs.

 

9. Plan on itVad händer när saker går fel? Planera för det

 


En nyckel till framgång är att ha en förvaltnings- och verksamhetsplan, inklusive en arbetsgrupp på plats när ett intrång inträffar. Att ha riktlinjer och rutiner, som ett effektivt underrättelsesystem, kommer att gynna företag genom att se till att det håller sig till tidsramarna för rapportering och lösning. Att ha en tydlig redogörelse för de åtgärder som ditt företag har vidtagit bistår även tillsynsmyndigheter i att hjälpa dig lösa problemet. Företag bör hålla en logg över alla incidenter (eller misstänkta incidenter) och den utredning som görs vid varje fall. Dataskyddsmyndigheterna kommer att kräva detta och företag kommer att dra nytta av dessa processer när de utreder orsaken till incidenten och ska förebygga att det inte händer igen samt göra en bedömning av hur incidenten och återhämtningsplanen fungerade i praktiken.

Episervers SIRT (Security Incident Response Team) har utbildats och är redo att hantera eventuella incidenter som kan uppstå. Ytterligare så har Episerver sammanställt riktlinjer och metoder för hela företaget, för att hjälpa SIRT med högsta prioritet när hjälp behövs.

 

10. Ett löpande åtagande innebär löpande bedömningar


Utöver sanktionerna (som är betydande) och riktlinjerna som GDPR kräver så är kärnan i förordningen företagsansvar. Det räcker inte att göra en dataskyddsinsats en gång och tro att det räcker. GDPR-efterlevnad kräver löpande granskning och uppdatering samt att det ständigt ärvs i företagskulturen. Tyvärr kommer företagen aldrig att vara "fullt GDPR-kompatibla" - det är en anpassningsprocess som alltid pågår och är levande och som förväntar sig att företagen ständigt granskar, uppdaterar och övervakar hur data hanteras.

Kontinuerligt testande och bedömning av dataskydd och integritetsriktlinjer är viktigt för att säkerställa att metoderna faktiskt kommer att fungera. Det gäller allt från begärandemetoder för registrerade till incidenthanteringsplaner. Att hålla dessa uppdaterade upprätthåller inte bara din GDPR-efterlevnad, utan ger i slutändan även de personer som ditt företag interagerar med en bättre och säkrare upplevelse.

 

Slutsats

 

Som en sista slutsats är GDPR-efterlevnad ett krav som sträcker sig utöver att utse ett team för integritets- eller efterlevnadsfrågor. Det kräver att organisationen deltar och samarbetar för att efterleva GDPR från teori till praktik.

Även de som har börjat med att driva igenom en av de första stora uppgifterna, datakartläggningen, börjar inse att det är en sak att ha med sig kärntruppen inom integritet när det gäller GDPR, men en helt annan, gigantisk uppgift att driva GDPR i en hel organisation. Vi på Episerver är här för att hjälpa till och vill visa dig hur Digital Experience Cloud är en avgörande pusselbit i din GDPR-resa. Vi ser fram emot att följa med dig på vägen. Kom ihåg:

 

  • IDENTIFIERA var ditt företag befinner sig, dataflöden och vilka riktlinjer som redan finns
  • GRANSKA befintliga riktlinjer, notifikationer, behandlingsgrunder
  • BEDÖM mot GDPR-efterlevnad
  • UPPDATERA riktlinjer, planer, metoder, utbildning samt medvetenhet för att uppfylla denna efterlevnad
  • TESTA dessa riktlinjer med hjälp av pågående revisioner och självbedömningar