Upprätta policys
En av de första sakerna du behöver tänka på är att upprätta en medarbetarpolicy för hur företaget ska hantera personuppgifter. I medarbetarpolicyn skall du noggrant instruera hur medarbetarna skall handskas med de personuppgifter som de kommer i kontakt med. Det ska även finnas en del som är dedikerad för IT-system, lösenord och liknande. Så att medarbetarna vet vad de behöver göra för att leva upp till företagets åtaganden – till exempel att byta lösenord på datorn med regelbundna mellanrum. Minst lika viktigt är att upprätta en policy som beskriver hur företaget hanterar personalens uppgifter.
Ni behöver även en personuppgiftspolicy som talar om för kunder, medlemmar eller dylikt, hur ni hanterar deras uppgifter. De personer som det gäller skall tydligt kunna läsa sig till hur deras personuppgifter lagras, hanteras och raderas och vart de ska vända sig om de har frågor eller funderingar. Dessa uppgifter ska personen kunna ta del av innan de sparas i en databas och det krävs ett aktivt godkännande från personen i fråga.
Som chef bör du också jobba med att utveckla företagets interna processer så att säkerheten kring personuppgifter stärks. Behöver ni investera i ett affärssystem med lösenordsskydd? Så att ni kan undvika att mejla uppgifterna sinsemellan. Även om man är försiktig finns det alltid en risk att uppgifterna hamnar i fel inkorg – oavsett om man missar en bokstav i ett namn eller råkar ut för dataintrång. Därför är det även viktigt att mejlen rensas med jämna mellanrum – har ni en policy för hur ofta medarbetarna ska gallra i mejlen? Om inte, kan det vara dags att införa en.
Fördela ansvar
GDPR innebär att personer vars personuppgifter ni har sparat – vare sig det är kunder, medarbetare eller andra – kan begära att få ut sina uppgifter. Därför kan det vara en bra idé att ni har bestämt vem på företaget som ansvarar för att ta emot eventuella förfrågningar och lämna ut uppgifterna. Ni behöver även ta fram riktlinjer för hur ni ska agera om det sker en incident som kan skada personuppgifterna, till exempel att en medarbetare tappar eller får sin laptop stulen. Vad gör ni då? Vem i företaget ska man kontakta som kan ta action på problemet omedelbart?
Vissa företag behöver ett dataskyddsombud och andra kan klara sig med att någon tar på sig extra ansvar. Huvudsaken är att personen i fråga är informerad och beredd att agera! Om en personuppgiftsincident inträffar måste företaget anmäla det till Datainspektionen inom 72 timmar – då gäller det att det finns någon på plats som kan hantera det korrekt.
Kommunicera ut det
Sist men inte minst – när policyn är på plats och ansvarig är utsedd – gäller det att förmedla budskapet till medarbetare och kunder. Lägg upp en text på hemsidan och intranätet, gör utskick via mejl, använd sociala medier eller varför inte samla personalstyrkan över en GDPR-frukost? Se till att ni har varit tydliga och att ingen kan missa informationen.
När det är gjort är det också viktigt att ha regelbundna avstämningar (i alla fall i början), för att säkerställa att policyn efterlevs – och att ingen missuppfattat den. Om det krävs tekniska verktyg för att leva upp till policyn, till exempel ett lösenordsskyddat affärssystem – krävs det också utbildning av medarbetarna. Ge din personal alla förutsättningar de behöver!
Vi har arbetet intensivt för att anpassa vår verksamhet till GDPR, ta gärna del av vår personuppgiftspolicy!