GDPR betyder GDPR – Har du upprättat din SAR-plan?

Boka en demo

företag, team, diskussion, möte, företag, koncept

Nedräkningen är väl igång och maj 2018 skymtar när den nya generalen Dataskydd Förordningen kommer att ersätta den nuvarande dataskyddslagen.

EU GDPR kommer att antas av Storbritannien oavsett Brexit så det krävs åtgärder nu. För de företag som på ett ansvarsfullt sätt ser på hur de kommer att uppfylla kraven för denna europeiska förordning, kommer ansökningar om tillträde till subjekt utan tvekan att utgöra en del av deras överväganden.

Enligt EU:s nya GDPR måste organisationer svara på SAR:er "utan onödigt dröjsmål och senast inom en månad". Detta är en kortare tidsram än under den befintliga DPA som anger 40 dagar. Kanske ännu mer krävande är att kompletterande information också måste lämnas till begäranden vid sidan av deras personuppgifter. Detta inkluderar, där det är möjligt, uppgifter om "den planerade perioden för vilken personlig information kommer att lagras eller, om det inte är möjligt, de kriterier som används för att fastställa den perioden”.

Ytterligare information krävs också för att förklara förfrågans rätt att begära rättelse eller radering av sina uppgifter, att invända mot bearbetningsaktiviteter, tillsammans med deras rätt att lämna in klagomål till dataskyddsmyndigheter. Organisationer kommer att behöva identifiera var de har hämtat förfrågans personuppgifter ifrån i fall där de inte har samlats in direkt från individen. Beställare kommer också att ha rätt att få information om de skyddsåtgärder som tillämpas när deras uppgifter överförs utanför Europeiska ekonomiska samarbetsområdet.

Enligt Informationskommissionärens kontor (ICO) Årsredovisning för verksamhetsåret 2015/16*, 42 % av concerns upp med dem centrerade på SAR. Detta understryker de svårigheter som organisationer redan har att följa de befintliga, mindre betungande reglerna. Det indikerar att organisationer har en bit kvar för att möta förväntningarna från kunder, personal och tillsynsmyndigheter!

Se våra plattformsfunktioner i aktion

En skräddarsydd praktisk session utifrån dina behov och mål

Boka din demo

Se hur enkelt det är med ISMS.online
Boka din demo

Planen

Under ICO:erna Förbereder sig för Allmän uppgiftsskyddsförordning (GDPR) – 12 steg att ta nu**, den 5:e beskriver behovet av rutiner och en plan för hur en organisation ska hantera SAR.

Med tanke på de nya kraven är det viktigt att personalen är tillräckligt utbildad för att identifiera vad som är en förfrågan och processen för att hantera den. Att vänta dagar innan processen startas och data hämtas från systemen kommer att vara riskabelt med tanke på att böterna sannolikt blir mycket hårdare enligt GDPR.

  • Fastställ hur du kommer att hantera ditt GDPR-projekt med tydlig synlighet av allt arbete som behöver slutföras för att uppnå och bevisöverensstämmelse.
  • Kom överens internt om policyer som beskriver dina pragmatiska procedurer och processer.
  • Identifiera vem som behöver utbildas och hur ska du visa att utbildning har skett.
  • Åta sig screening och bedömning av integritetspåverkan.
  • Identifiera och adressera information, fysiska och lagstiftande integritetsrisker.
  • Upprätta en metod för att tilldela SAR till utbildade individer, tillsammans med deadlines och varningar, samtidigt som du behåller synlighet och ledningsrapportering.

Så GDPR kan utgöra en betydande risk för organisationer och en plan att ta itu med SAR och alla andra aspekter av kraven behövs:

  • Se till att de har ett tydligt arbetsflöde att följa där de kan hålla koll på sitt arbete.
  • Ge dem möjligheten att snabbt få tillgång till versionskontrollerade mallsvar med standardiserad formulering (tillhandahåller de kompletterande detaljerna som måste avslöjas tillsammans med en begärandes data)
  • Utrusta personalen med verktyg för att enkelt och effektivt ge andra teammedlemmar i uppdrag att utföra sin del av processen.
  • Integrera ditt GDPR-arbete i ditt bredare ISMS eller informationssäkerhet standarder.
  • Demonstrera effektiv styrning för en tillsynsmyndighet i händelse av en utredning.

Utan tvekan kommer tillsynsmyndigheter också att leta efter en stark hållning för att demonstrera säkerheten för personuppgifter av registeransvariga och processorer. Det är därför vår mjukvarulösning, ISMS.online, innehåller alla verktyg och ramverk för att hantera GDPR-efterlevnad och informationssäkerhet i linje med kraven i ISO 27001.

Informationskommissionärens årsredovisning och bokslut 2015/16

Guide till den allmänna dataskyddsförordningen (GDPR)

ISMS.online kommer att spara tid och pengar för ISO 27001-certifiering och göra det enkelt att underhålla.

Daniel Clements

Informationssäkerhetschef, Honeysuckle Health

Boka en demo

Bygg enkelt din SAR-plan, arbeta mot GDPR-efterlevnad och hantera alla nödvändiga arbetsprocesser för att visa ett effektivt ledningssystem för informationssäkerhet.

Håll dig på rätt sida om tillsynsmyndigheterna och sova bättre på natten i vetskap om att du gör allt för att skydda kunders och personals data och hålla dina informationstillgångar säkra.

Upptäck hur

100 % av våra användare uppnår ISO 27001-certifiering första gången

Börja din resa idag
Se hur vi kan hjälpa dig

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer