Compliance

Dataskyddslagen GDPR

Vi hjälper kunden att efterleva Dataskyddslagen (GDPR) som gäller sedan 25 maj 2018 och ersätter den svenska Personuppgiftslagen (PUL).  För den som inte efterlever kraven i den nya lagen riskeras böter på upp till 4 procent av koncernens globala årsomsättning. Lagen ska ge organisationer incitament att stärka sitt arbete med säkerhetsfrågor och skydd av personlig information som gynnar individen. GDPR beskriver varför skyddet av personuppgifter är nödvändigt och de potentiella konsekvenserna, men ger väldigt lite vägledning om hur man rent praktiskt uppnår kraven. Vi arbetare utefter en 3 stegs process för att hjälpa er att uppnå adekvat dataskydd och laglig efterlevnad.

1) Inventering

Vi hjälper er att identifiera och inventera alla personuppgifter på ett effektivt sätt. För att kunna efterleva GDPR är det av vikt att identifiera och inventera befintliga personuppgifter (PII) enligt artikel 30 i GDPR. Antalet system, leverantörer, integrationspunkter och samarbetspartner som är inblandade i datahanteringen kan göra arbetet komplext och tidskrävande.

2) Konsekvensbedömning

Konsekvensbedömning (DPIA) av personuppgifter sker enligt artikel 35 i GDPR. Vi går igenom inventeringen av personuppgifter från steg 1 och gör en riskanalys i syfte att identifiera den skyddsvärda informationen. Riskanalys belyser även de åtgärder som verksamheten behöver vidta.

3) Implementering

Baserat på vilken personlig information som ska skyddas definieras relevanta kontroller och processer. För att efterleva GDPR måste skydd av personuppgifter inkluderas i alla system, vilket uppnås genom implementation av skyddsmekanismer för alla system som hanterar personlig information. Detta för att säkerställa efterlevnad av GDPR.

Säkerhetsskyddslagen

I april 2019 trädde en ny säkerhetsskyddslag i kraft som ställer mer omfattande krav på organisationer som bedriver verksamhet av säkerhetskänslig natur. I den nya lagen framgår bland annat tydliga riktlinjer kring inventering och klassificering av IT-system och information.

Den nya säkerhetsskyddslagen tydliggör hur organisationer som bedriver säkerhetskänslig verksamhet ska arbeta med säkerhetsskydd, vilket avser:

  • Skydd mot brott som kan hota rikets säkerhet
  • Skydd av hemliga uppgifter som rör rikets säkerhet
  • Skydd mot terrorism

Utöver myndigheter, så kan reglerna även omfatta aktiebolag, handelsbolag, stiftelser och föreningar som staten, kommuner eller landsting har ett rättsligt inflytande över. Samma sak gäller för enskilda som bedriver verksamhet som kan ha betydelse för rikets säkerhet.

Hemliga uppgifter som rör rikets säkerhet ska skyddas. Eftersom offentlighets- och sekretesslagen inte ger anvisningar om hur hemliga uppgifter som rör rikets säkerhet ska hanteras, regleras detta i säkerhetsskyddslagstiftningen.

En av utmaningarna för en organisation är informationssäkerhet. Säkerhetsskyddslagen ställer krav på att såväl myndigheter som företag och enskilda som sysslar med säkerhetskänslig verksamhet ska:

  • förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och
  • förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.

Det innebär att känslig information och informationssystem som sysslar med säkerhetskänslig verksamhet måste skyddas. Även system som inte innehåller hemlig information kan omfattas av säkerhetsskyddslagen om en störning i det systemet allvarligt påverkar vitala delar av samhället.

Vi har kompetens inom både informationssäkerhet och säkerhetsskydd. Vi kan stödja er i att dels utreda hur er organisation påverkas av lagen, samt hur vi uppnår efterlevnad.