Dataskyddsförordningen, eller GDPR som den ofta kallas, har funnits i över sex år. Trots det ser många företag sitt dataskyddsarbete som något de redan har checkat av. Men i takt med att tillsynen ökar, tekniken utvecklas och kraven från kunder och leverantörer förändras, blir det allt viktigare att ha ordning på sina rutiner.
Många tror att GDPR främst gäller stora koncerner, men Tillsynsmyndigheten granskar företag i alla storlekar, ofta med utgångspunkt i en enskild kundanmälan eller mindre incident. Det kan till exempel handla om att en medarbetare råkat skicka känsliga uppgifter till fel mottagare eller att hemsidan automatiskt delar information vidare till en extern plattform, utan rätt avtal på plats, säger Rickard Wannerheim jurist inom affärsjuridik.
Det är i just sådana vardagliga situationer som ett företags rutiner sätts på prov. Utan tydligt ansvar, dokumentation och fungerande arbetssätt blir det svårt att agera korrekt och risken för sanktioner ökar. Genom att se över dataskyddsarbetet i tid går det att undvika många av de fallgropar som annars kan bli kostsamma.
Vanliga utmaningar i mindre företag
Många små och medelstora företag kämpar med liknande utmaningar när det gäller dataskydd. Här är några av de vanligaste:
Brist på rutiner vid incidenter
Om personuppgifter hanteras fel, till exempel skickas till fel mottagare, ska det i vissa fall anmälas till tillsynsmyndigheten inom 72 timmar. Många företag saknar en tydlig process för hur det ska gå till, vilket ökar risken att agera för sent – eller inte alls.
Otydligt ansvar
Enligt GDPR ska det vara tydligt vem som ansvarar för dataskyddsarbetet. Även om ett dataskyddsombud inte alltid krävs, behöver någon ha ett utpekat ansvar.
Utan tydlig ansvarsfördelning ökar risken för misstag, något som ofta uppmärksammas vid tillsyn.
Bristande leverantörshantering
Om ett företag anlitar externa leverantörer som hanterar personuppgifter krävs ett personuppgiftsbiträdesavtal. Men avtalet är bara början, företaget behöver också övervaka att leverantören faktiskt följer säkerhetsrutinerna. Utan både rätt avtal och löpande tillsyn kan företaget bli ansvarigt vid incidenter, även om det är leverantören som gjort fel.
Otillräcklig dokumentation
För att kunna visa att företaget hanterar personuppgifter korrekt behöver det finnas skriftliga rutiner och översikter som visar vilka personuppgifter som behandlas, för vilket syfte, hur de skyddas och vilka rutiner som finns. Utan sådan dokumentation blir det svårt att vid en granskning visa att företaget följer regelverket.
Så kommer du igång med ett fungerande dataskydd
Att arbeta med dataskydd handlar i grunden om att förstå vilka personuppgifter som behandlas, varför de behövs och hur de skyddas i det dagliga arbetet. För att det ska fungera krävs tydliga rutiner, ansvar och löpande översyn.
För många mindre företag är en bra start att kartlägga vilka uppgifter som hanteras och i vilka system. Utifrån det blir det lättare att ta fram konkreta åtgärder, som att uppdatera avtal, tydliggöra ansvar och skapa enkla rutiner vid incidenter.
- Målet är inte att uppnå perfektion, utan att ha ett arbetssätt som minskar riskerna och håller vid en granskning. Samtidigt handlar dataskydd inte bara om lagkrav, utan också om att bygga förtroende. Allt fler kunder och samarbetspartners förväntar sig att företag hanterar personuppgifter på ett ansvarsfullt sätt. För mindre företag kan tydliga rutiner också bli en konkurrensfördel, särskilt i upphandlingar eller inför nya affärer, säger Rickard Wannerheim.
Behöver du hjälp att komma igång?
Kontakta oss för en kostnadsfri konsultation.
