Support

Dataskydd & GDPR

Informationssäkerhet

Dataskydd & GDPR

IT-management

GDPR kan kännas både överväldigande och krångligt. Men för att efterleva gällande lagar och för att kunna nyttja den snabba teknikutveckling som sker, behöver det vara ordning och reda i dataskyddsfrågan.

Med DirSys som samarbetspartner får ni rätt kompetens och hjälp att proaktivt förbättra ert dataskyddsarbete. Vi har lyckats när ni har ökat er GDPR-efterlevnad, fått en smidigare vardag och en proaktiv riskminimering.

Din dataskyddspartner

GAP-analys GDPR

Behöver ni en nystart i GDPR-arbetet? Upptäck ert nuläge och få en tydlig plan framåt.

DSO som tjänst

Behöver ni ett Dataskyddsombud? Vi hjälper er uppfylla kravet i GDPR till en fast månadskostnad.

Dataskydd som tjänst

Vem ska öka er GDPR-efterlevnad? Vi såklart! Här får du både Dataskyddsspecialister och ett enkelt verktyg.

GDPR-audit

Ni har gjort massor inom GDPR. Men är det tillräckligt? Vi granskar er i sömmarna!

En kvinna som skriver vid datorn

Full kontroll över er personuppgiftshantering

GDPR påverkar oss alla, och den administrativa bördan kan bli stor. Vart hanterar ni personuppgifter? Hur och varför?

Med Integrity är det enklare än någonsin att skapa full kontroll över er personuppgiftshantering. Dessutom är det både smidigt och enkelt att sprida ansvaret i organisationen.

En dataskyddsresa med DirSys

Så vad innebär det att välja DirSys som GDPR-partner? Jo en helhetslösning.

Verktyg för GDPR-efterlevnad

Efter att ha hjälpt många organisationer med GDPR trillade polletten ner: utan ett smidigt verktyg är det omöjligt att hålla reda på organisationens personuppgiftshantering. Så föddes DirSys Integrity. Ett verktyg du får ta del av som vår GDPR-kund.

Professionell rådgivning

Med risk för att säga emot oss själva - ett system löser inte alla problem. Därför erbjuder vi skräddarsydd rådgivning inom dataskydd. Från juridiken till hur du får med kollegan på tåget.

GDPR – en del av ett ekosystem

Vi vet att dataskyddsfrågan inte existerar i ett vakuum. Det är en del av ett större ekosystem. Därför är vi inte bara jurister och dataskyddsexperter. Vi är även rådgivare inom projektledning, informationssäkerhet och IT-styrning. Det ger oss både djup och bredd. Med andra ord - en helhetslösning för dig.

Det här säger våra kunder om oss

“Ger komplex vägledning på ett enkelt sätt. Är lätt att samarbeta med och har den trygghet som krävs för rollen.”

Emelie Paridon, Region Skåne

Vanliga frågor & svar om GDPR

Vad är GDPR och varför är det viktigt?

GDPR (General Data Protection Regulation) är en EU-förordning som trädde i kraft den 25 maj 2018. Den syftar till att skydda individers personuppgifter och stärka deras rättigheter.

GDPR ställer krav på hur företag och organisationer samlar in, lagrar och behandlar personuppgifter, och säkerställer att dessa uppgifter hanteras på ett lagligt, rättvist och transparent sätt.

GDPR syftar till att skydda och stärka individers rättigheter när det gäller deras personuppgifter. Förordningen är viktig eftersom den reglerar hur detta ska uppnås.

Hur påverkar GDPR vår organisation?

GDPR påverkar alla organisationer som hanterar personuppgifter. Det innebär att organisationer bland annat behöver:

  • Ha en rättslig grund för att behandla personuppgifter.
  • Informera individer om hur deras personuppgifter används.
  • Säkerställa att personuppgifter är korrekta och uppdaterade.
  • Implementera säkerhetsåtgärder för att skydda data.
  • Rapportera personuppgiftsincidenter till tillsynsmyndigheter inom 72 timmar.
  • Dokumentera och kunna visa att ni följer GDPR.

Det innebär helt enkelt att organisationer behöver ha rutiner och strukturer på plats som säkerställer skydd av individers personuppgifter.

Vilka omfattas av GDPR?

GDPR gäller för alla organisationer som behandlar personuppgifter om individer inom EU, oavsett var organisationen är baserad. Det omfattar även företag utanför EU som erbjuder varor eller tjänster till, eller övervakar beteendet hos, individer inom EU.

Vilka omfattas inte av GDPR?

GDPR omfattar inte behandling av personuppgifter som utförs av en privatperson för rent personligt bruk, behandling av uppgifter om avlidna personer, eller behandling av uppgifter som inte kan kopplas till en identifierbar fysisk person.

Hur kan vi säkerställa att vi efterlever GDPR?

För att säkerställa efterlevnad av GDPR bör ni bland annat:

  • Kartlägga och dokumentera alla personuppgiftsbehandlingar.
  • Säkerställa att ni har en rättslig grund för varje behandling.
  • Implementera tekniska och organisatoriska säkerhetsåtgärder.
  • Utbilda personal om GDPR och dataskydd.
  • Genomföra regelbundna granskningar och uppdateringar av era rutiner.

Vad händer om vi inte efterlever GDPR?

Om ni inte följer GDPR kan ni drabbas av sanktioner, inklusive:

  • Varningar och reprimander: För mindre överträdelser.
  • Böter: Upp till 20 miljoner euro eller 4 % av den globala årsomsättningen, beroende på vilket belopp som är högst. För offentlig sektor gäller istället ett högsta belopp om 8 miljoner SEK.
  • Förbud: Tillfälliga eller permanenta förbud mot att behandla personuppgifter.

GDPR och AI – hur ska vi tänka?

När ni använder AI som behandlar personuppgifter måste ni följa GDPR. Det innebär att:

  • Säkerställa att AI-systemet har en rättslig grund för att behandla personuppgifter.
  • Informera individer om hur deras data används av AI-systemet.
  • Implementera säkerhetsåtgärder för att skydda data.
  • Beakta reglerna om automatiserat beslutsfattande och profilering.
  • Samarbeta med jurister och tekniker för att säkerställa att AI-utvecklingen sker på ett integritetsvänligt sätt.

Vilka är de grundläggande principerna för dataskydd enligt GDPR?

De grundläggande principerna för dataskydd enligt GDPR är:

  • Laglighet, korrekthet och öppenhet: Behandling av personuppgifter måste vara laglig, rättvis och transparent.
  • Ändamålsbegränsning: Uppgifter får endast samlas in för specifika, uttryckligt angivna och berättigade ändamål.
  • Uppgiftsminimering: Endast de uppgifter som är nödvändiga för ändamålet får behandlas.
  • Riktighet: Uppgifter måste vara korrekta och uppdaterade.
  • Lagringsminimering: Uppgifter får inte lagras längre än nödvändigt.
  • Integritet och konfidentialitet: Uppgifter måste skyddas mot obehörig eller olaglig behandling och mot oavsiktlig förlust, förstöring eller skada.
  • Ansvarsskyldighet: Organisationer måste kunna visa att de följer dessa principer

Hur hanterar man känsliga personuppgifter?

Känsliga personuppgifter, såsom uppgifter om hälsa, religion eller politiska åsikter, har ett starkare skydd enligt GDPR.

Behandling av dessa uppgifter är som huvudregel förbjuden, men det finns undantag, till exempel om den registrerade har gett sitt uttryckliga samtycke. Organisationer måste vidta extra säkerhetsåtgärder för att skydda känsliga uppgifter och säkerställa att de endast behandlas när det är absolut nödvändigt

Vad är en konsekvensbedömning av dataskydd (DPIA)?

En konsekvensbedömning av dataskydd, eller DPIA (Data Protection Impact Assessment), är en process som hjälper organisationer att identifiera och minimera riskerna för personuppgifter i samband med olika personuppgiftsbehandlingar.

En DPIA är särskilt viktig och ett krav enligt förordningen när en behandling av personuppgifter sannolikt leder till hög risk för de registrerades rättigheter och friheter.

Läs mer i vår guide om konsekvensbedömning här.

Hur länge får personuppgifter lagras?

Personuppgifter får endast lagras så länge det är nödvändigt för de ändamål för vilka de samlades in. När uppgifterna inte längre behövs ska de raderas, gallras eller anonymiseras (beroende på situation och organisation).

Hur hanteras samtycke enligt GDPR?

Samtycke måste vara frivilligt, specifikt, informerat och otvetydigt. Det måste ges genom en tydlig bekräftande handling som visar individens godkännande av behandlingen av deras personuppgifter.

Vad är en personuppgiftsincident och hur ska den hanteras?

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring eller obehörigt röjande av eller åtkomst till personuppgifter. För att hantera en incident ska organisationer:

  • Bedöma riskerna för de registrerade.
  • Anmäla incidenten till tillsynsmyndigheten inom 72 timmar om det finns risk för individers rättigheter och friheter.
  • Informera de berörda individerna om incidenten innebär hög risk.
  • Vidta åtgärder för att förhindra framtida likartade incidenter.

Fler frågor om dataskydd? Kontakta oss så hjälper vi dig!

Vill du starta din dataskyddsresa
med oss?

Fyll i formuläret så tar vi kontakt med dig!