GDPR – så lever vi upp till den nya datalagen

Den nya datalagen GDPR är ganska komplex och det finns fortfarande vissa delar som kan verka otydliga.

På Indpro har vi den kompetens som krävs för att guida våra kunder i hur vi går bäst tillväga för att efterleva GDPR i vårt samarbete.

Lagring av känslig data

Våra processer garanterar tillräcklig säkerhet för den data som är av personlig natur och som potentiellt är känslig.

Vi har processer på plats för hur vi tar emot personlig data hur vi hanterar och lagrar den personliga datan – och kanske viktigast av allt, hur vi tar bort datan och under vilka omständigheter vi ska göra det.

Godkända avtal

De avtal (bland annat. biträdesavtal) som vi har upprättat med våra kunder är professionellt framtagna och vi följer Datainspektionen och Dataskyddsförordningens regler för hur vi behandlar personuppgifter, likaså har vi upprättat avtal som följer Dataskyddsförordningens krav.

Innan vi påbörjar ett samarbete gör vi en ordentlig genomgång av den data som vi potentiellt kan tänkas jobba med, vilken som är av personlig och känslig natur, och vilken som inte är det.

Ska vi arbeta med känslig data ger vi rekommendationer för hur vi bör gå tillväga för att minimera säkerhetsrisken. Sedan sätter vi upp ett tillvägagångssätt tillsammans med kund, som ger kunden full insyn i hur vi tar hand om datan.

Särskilda regler för data utanför EU

När data överförs till länder utanför EU finns särskilda och striktare regler i lagstiftningen. Vi försöker i största möjliga mån att sätta upp en arbetsprocess som gör att vi arbetar i kundernas miljöer med säkra accesspunkter. I 9 fall av 10 har vi därför inte anledning att behandla någon personlig data hos oss, varken i Sverige eller vid vårt leveranscenter i Indien.  Men i de fall där behandling av data utanför EU är aktuellt, har vi både processer och avtal som garanterar efterlevnad av den nya datalagen.

Säkerheten i vårt leveranscenter

I arbetet för att efterleva GDPR har vi höjt säkerheten ytterligare på vårt stora leveranscenter i Bangalore, Indien. Sedan tidigare krävs biometrisk identifikation för att få tillgång till kontoret. Vi har också tagit fram nya policys för användningen av egna device. Vi tillåter fortfarande BYOD (bring your own device), men vi har uppdaterat våra policys och infört en mer stringent process för att kontrollera när data förs utanför kontorets gränser.

Vi sparar även logglistor och har rutiner för vad som ska göras om en dataläcka trots allt skulle uppstå, och vi har exempelvis  även tittat på faktorer så som hur organisationen håller IT-utrustningen säker.

Utbildad personal

Efterlevnad av GDPR förutsätter att hela organisationen är utbildad i vad GDPR och Dataskyddsförordningens regler eller lagstadgade krav innebär, och förstår vikten av att följa det.

Vi genomför fortlöpande utbildningar med vår personal, i Sverige såväl som i Indien.

Regelbundna audits

Vi genomför regelbundet audits av våra policys, processer och system, såväl kvartalsvis som halvårsvis och helårsvis. I våra audits går vi igenom processerna och ser över vilka förbättringar vi kan göra.

Arbetet med GDPR är inte en engångsinsats utan ett fortlöpande arbete. Indpro fortsätter att följa hur lagstiftningen utvecklas, för att säkerställa att vi och våra kundprojekt lever upp till gällande regler och krav.