Företag ska förebygga personuppgiftsincidenter genom att vidta en kombination av lämpliga organisatoriska och tekniska säkerhetsåtgärder. Exempelvis är det en personuppgiftsincident om någon obehörig får tillgång till personuppgifter. Detsamma gäller om personuppgifter blir oavsiktligt förstörda eller går förlorade. En personuppgiftsincident kan ske både med avsikt eller oavsiktligt.
Det är vanligt att företag publicerar sina tillämpade säkerhetsåtgärder online på sin officiella webbplats. En sammanställning av de tillämpade tekniska och organisatoriska säkerhetsåtgärderna förekommer även som en bilaga till personuppgiftsbiträdesavtal. Denna bilaga är ofta kallad för en “TOMs-bilaga”. Förkortningen kommer från engelskan, eftersom det då är kallat för “technical and organizational measures”.
Företag ska förebygga personuppgiftsincidenter genom att implementera olika säkerhetsåtgärder
Det är bra att ha processer och en arbetsstruktur som är tydlig för att kunna förebygga personuppgiftsincidenter. Dessutom bör företaget ha interna rutiner för att upptäcka personuppgiftsincidenter så fort som möjligt. Företag behöver bland annat implementera olika organisatoriska och tekniska lösningar för att kunna skydda personuppgifter från att hamna i orätta händer.
Först och främst är det viktigt att analysera skyddsobjekten. Alltså de personuppgifter som ska bli skyddade. Exempelvis: vilka personuppgifter behöver företaget behandla och får företaget behandla personuppgifterna? Företag ska inte behandla fler personuppgifter än nödvändigt för ändamålet. Dessutom behöver företag ha en rättslig grund för varje enskild behandling samt följa de grundläggande dataskyddsprinciperna. Det är även viktigt att analysera vilka risker som behandlingen innebär.
Tekniska och organisatoriska säkerhetsåtgärder enligt GDPR
Efter att företaget har analyserat riskerna med behandlingen, bör företaget även analysera vilka tekniker och organisatoriska rutiner som företaget tillämpar. Exempelvis kan företaget ha backupfiler för att kunna återskapa eventuella förlorade personuppgifter vid en personuppgiftsincident. Ett exempel på organisatoriska åtgärder att ha interna skriftliga rutiner och regler kring användarbehörigheter.
Ju känsliga personuppgifter, desto högre säkerhet behöver företaget ha. Enligt GDPR finns det fyra grupper av integritetskänsliga personuppgifter, varav känsliga personuppgifter utgör en av grupperna.
Övriga skyldigheter enligt GDPR
Företag måste kunna visa att de följer GDPR, vilket framgår av principen om ansvarsskyldighet enligt artikel 5.2 GDPR. Detta går att göra genom att bland annat ha lämpliga skriftliga dokument. Företag bör bland annat skriva ner hur företaget gör i praktiken för att skydda personuppgifterna. I vissa fall kan företag också behöva utföra konsekvensbedömningar innan en behandling av personuppgifter blir utförd.
Dessutom kan företag behöva begära ett förhandssamråd med IMY innan en behandling blir utförd. Däremot är det viktigt att tänka på att göra en konsekvensbedömning innan man begär förhandssamrådet.
Hos oss kan du får hjälp med att ta fram skriftliga interna rutiner anpassad för ditt företags verksamhet. Vi skriver och granskar GDPR avtal och dokument till fast pris. Mer information om GDPR finns att läsa på vår webbplats www.AvtalGDPR.se.