december 12, 2018

Datainspektionens GDPR-granskningar trappas upp

Den 24 maj satt många orofyllt och inväntade dataskyddsförordningen (GDPR) och dess efterföljande katastrofer. Precis som med millenniebuggen besannades inte farhågorna, men det innebär inte att man kan släppa GDPR i tron om att dess konsekvenser enbart var uppblåsta. Datainspektionen är nu klar med sin första granskning och flera nya granskningar har redan påbörjats.

Utsett och anmält dataskyddsombud? – Första svenska granskningen klar

Datainspektionen har gjort en bred granskning av drygt 400 myndigheter och företag och undersökt om de utsett ett dataskyddsombud och om de dessutom meddelat detta till Datainspektionen, vilket de måste göra. Enligt dataskyddsförordningen är alla myndigheter och även vissa företag skyldiga att utse ett dataskyddsombud. Ombudet ska kontrollera att den egna organisationen följer bestämmelser och interna styrdokument om dataskyddsfrågor och informera och ge råd internt.

Granskningen visar att majoriteten av de granskade organisationerna har anmält och utsett ett dataskyddsombud i tid. Vissa branscher utmärker sig dock negativt. Av de 51 fackförbund som fanns med i urvalet hade närmare 25 procent brister.

Datainspektionen har denna gång valt att stanna vid att utfärda reprimander, utan några administrativa sanktionsavgifter. Anledningen ska vara att det gått så pass kort tid efter att GDPR infördes den 25 maj 2018.

Detta är rimligt men ska inte tolkas som att GDPR och dess repressalier inte ska tas på stort allvar. Implementationen och efterlevnaden av GDPR är ett enormt arbete och sanningen är den att få organisationer faktiskt var ”klara” till den 25 maj, långt därifrån. Denna mjukstart var behövlig för de flesta och nu gäller det för organisationerna att ta denna tid tillvara för att undvika samma GDPR-stress ännu en gång. Halkar man efter nu riskerar man dyra konsekvenser för det framöver.

Externa dataskyddsombud

Även om myndigheter och vissa företag är tvingade till att ha ett dataskyddsombud, så finns det ingenting som stoppar företag från att frivilligt utse ett dataskyddsombud. Det finns faktiskt flera fördelar med att ha ett dataskyddsombud, t.ex. skapar det ett förtroende hos era kunder och kan även ses som en fördel i konkurrensen med andra företag. Men den kanske största fördelen är att ni inte halkar efter i utvecklingen, eftersom detta framöver kan leda till stora ekonomiska konsekvenser.

Det kan vara svårt att anställa ett dataskyddsombud då det råder brist på arbetsmarknaden av personer som lever upp till de höga kraven som GDPR ställer på ett dataskyddsombud. Som tur är tillåter GDPR att ett externt dataskyddsombud utses.

Secure State Cyber erbjuder en DPO-tjänst som bemannas av ett team av erfarna informationssäkerhetskonsulter och jurister som externt dataskyddsombud. Dessa experter hjälper er organisation med bland annat att

  • samla in information om hur organisationen behandlar personuppgifter
  • kontrollera att organisationen följer bestämmelser och interna styrdokument
  • informera och ge råd inom organisationen
  • utbilda era medarbetare inom organisationen
  • ge råd och stod vid konsekvensbedömningar
  • ge råd och stöd vid personuppgiftsincidenter
  • vara kontaktperson för Datainspektionen
  • vara kontaktperson för de registrerade och personalen inom organisationen

Den övergripande och viktigaste uppgiften för dataskyddsombudet är att övervaka att organisationen följer dataskyddsförordningen, någonting som kan vara särskilt nyttigt nu efter det första implementationsarbetet som de flesta troligtvis gjorde innan den 25 maj. Glöm inte bort att GDPR är ett kontinuerligt arbete och ett dataskyddsombud kan vara ett bra stöd för detta arbetet.

Datainspektionen inleder fler granskningar

Datainspektionen drar under hösten igång flera större granskningar. Syftet med granskningarna är bland annat att skapa vägledning gällande de nya dataskyddsreglerna i bland annat dataskyddsförordningen.

Till detta tillkommer att även ytterligare granskningar kan komma att inledas efter till exempel klagomål eller på eget initiativ när det finns brister som bedöms vara så pass allvarliga att de behöver granskas närmare.

Referenser:

https://www.datainspektionen.se/nyheter/datainspektionen-inleder-fler-granskningar/

https://www.datainspektionen.se/nyheter/forsta-svenska-gdpr-granskningen-klar/

https://www.datainspektionen.se/nyheter/datainspektionen-inleder-forsta-granskningen-enligt-brottsdatalagen/

 

Skrivet av:

Moa Malviker Wellermark, Senior Security Advisor

moa.malviker.wellermark@securestatecyber.com

+46 (0)70-535 44 98

Vill du bli kontaktad av oss?

Tack för att du vill skapa kontakt med oss! Vi hör av oss.