Ansvar, påverkan och operativt inom Gdpr

Vem inom mitt företag kommer att ansvara för överensstämmelse av GDPR?

GDPR definierar flera roller som är ansvariga för att säkerställa överensstämmelse: datastyrare, dataprocessor och dataskyddsansvarig (DPO). Datatillsynsmannen definierar hur personuppgifter behandlas och syftet med vilka det behandlas. Kontrollen ansvarar också för att se till att utomstående entreprenörer följer. Dataprocessorer kan vara de interna grupperna som underhåller och behandlar personuppgifter eller något outsourcingföretag som utför hela eller en del av dessa aktiviteter.

GDPR håller processorer ansvariga för överträdelser eller bristande överensstämmelse. Det är då möjligt att både ditt företag och bearbetningspartner som en molnleverantör är ansvarig för straff även om felet helt och hållet är på processpartnern. GDPR kräver att regulatorn och processorn utser en DPO för att övervaka datasäkerhetsstrategin och GDPR-överensstämmelsen. Företagen måste ha en DPO om de bearbetar eller lagrar stora mängder EU-medborgaruppgifter, bearbetar eller lagrar speciella personuppgifter, övervakar regelbundet registrerade eller är offentliga myndigheter. Vissa offentliga enheter som brottsbekämpning kan vara befriade från DPO-kravet.

Hur påverkar GDPR tredje- och kundkontrakt?

GDPR placerar lika ansvar på datainsamlare (organisationen som äger data) och dataprocessorer (utanför organisationer som hjälper till att hantera den data). En tredjepartsprocessor som inte överensstämmer innebär att din organisation inte överensstämmer. Den nya förordningen har också strikta regler för rapportering av överträdelser som alla i kedjan måste kunna följa. Organisationer måste också informera kunder om sina rättigheter enligt GDPR. Vad det innebär är att alla befintliga avtal med processorer (t.ex. molnleverantörer, SaaS-leverantörer eller leverantörer av löneverkstjänster) och kunder behöver stava ansvar. De reviderade kontrakten måste också definiera konsekventa processer för hur data hanteras och skyddas, och hur överträdelser rapporteras.

Den största övningen är på upphandlingssidan av huset – dina leverantörer av tredje part, dina inköpssamhällen som behandlar data för din räkning. Det finns en hel grupp av leverantörer som har tillgång till dessa personuppgifter, och GDPR lägger mycket tydligt fram att du måste se till att alla tredje parter följer GDPR och behandlar uppgifterna i enlighet med detta. Kundkontrakt måste också spegla de lagstiftningsförändringar. Kundkontrakt tar ett antal olika former, oavsett om de är online-klick eller formella avtal där du gör åtaganden om hur du ser, åtkomst och bearbetar data.

Innan dessa kontrakt kan revideras måste företagsledare, IT och säkerhetsgrupper förstå hur data lagras och bearbetas och enas om en överensstämmande process för rapportering. En ganska stor övning krävs av teknikgrupperna och datahanteringsgruppen för att förstå vilka data som passar inom företaget, där det lagras eller bearbetas och där det exporteras utanför företaget. När du förstår dessa dataflöden och påverkan på verksamheten kan du börja identifiera de leverantörer du behöver vara mest fokuserade på, både från ett informationssäkerhetsperspektiv, hur du hanterar dessa relationer framåt och hur du minns det i kontraktet själv.

GDPR kan också ändra tankesättet för företag och säkerhetsgrupper mot data. De flesta företag ser deras data och de processer de använder för att nyttja den som en tillgång, men den uppfattningen kommer att förändras. Med tanke på GDPR: s uttryckliga samtycke och företag som behöver vara mycket mer granulerade när det gäller deras förståelse av data och dataflöden finns det en hel del skulder som nu existerar vid ackumulering av data. Det är en ganska annorlunda uppfattning både för laglig och efterlevnad, men kanske viktigare för hur affären tänker på ackumulering och användning av data och för informationssäkerhetsgrupper och hur de tänker hantera den data.

Data lämnar företaget på alla sätt. Medan CISO och teknologigrupperna måste kunna spåra allt detta måste du också sätta skydd på plats. ”Dessa skydd måste stavas ut i kontraktet, så att utomstående företag förstår vad de kan och inte kan göra med data. Genom att gå igenom processen för att definiera skyldigheter och ansvar förbereder företaget ett företag för att hantera GDPR-överensstämmelse operativt. Om en av dina leverantörer säger att du hackades igår kväll visste de vem som ska ringa och hur man svarar som en del av att uppfylla de lagstadgade kraven.

Det 72-timmars rapporteringsfönster som GDPR kräver gör det särskilt viktigt att leverantörerna vet hur man korrekt rapporterar ett brott. Om en leverantör hackats och du är en av tusentals kunder, meddelar de din upphandlingsavdelning eller en kontoperson eller någon i kundfordringar? Det kan komma på alla sätt. Du vill ha en tydligt definierad väg i kontraktet för att informationen ska komma till den person i din organisation som ansvarar för anmälan av överträdelsen. En regulator kommer inte att säga att du inte borde ha åsidosatt. De kommer att säga att du borde ha haft politiken, rutinerna och svarstrukturen på plats för att snabbt lösa det.

Större företag kan ha tusentals kontrakt att uppdatera. Att komplicera den utmaningen är att det måste ske sent i efterlevnadsprocessen. Innan du kan definiera ansvarsområden och ansvar måste du veta exakt vilka uppgifter du har, var och hur det behandlas och dataflödena. Det är kvar att många institutioner kämpar mot tidsgränsen för att försöka klara av de tekniska och operativa frågorna och måste spela in på att sätta rätt avtal på plats för att genomdriva det. Många företag har inte gjort några omförhandlingar av kontraktsvillkor.

Det stämmer frågan: Vad händer om avtalen inte är på plats före majstiden? Det finns flera risker för att inte slutföra kontrakten:

Operativt: 

Om du inte har kommit överens om vad dina processer kommer att vara med en leverantör är det inte klart hur du kommer att fungera under GDPR.

Leverantörshantering: Under GDPR behöver du veta hur dina leverantörer fungerar, inklusive deras säkerhetsramar och hur de hanterar data. Utan den kunskapen vet du inte risken de presenterar.

Regelbundna böter: EU är känt för sin vilja att ta ut kraftiga böter för bristande överensstämmelse. Om ett brott uppstår, kan det inte vara bra att inte ha kontrakt på plats. Att inte ha ett kontrakt är en indikation på att du inte vet vad dina leverantörer gör, och det är en större ledningsfråga om vilken infrastruktur du använder och hur du behandlar data. Det ger omvärlden uppfattning om hur organiserad du är och hur väl du förstår dina dataflöden.

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *