💡 📜 Standardpolicy & Incidentberedskap

Rekommenderad för WOLF användarföretag

  • Särskilt att beakta i detta arbete är Dataskyddsförordningens
  • Avsnitt 2 – Säkerhet för personuppgifter
  • Artikel 32. Säkerhet i samband med behandlingen
  • Artikel 33. Anmälan av en personuppgiftsincident till tillsynsmyndigheten
  • Artikel 34. Information till den registrerade om en personuppgiftsincident
  • Avsnitt 3 – Konsekvensbedömning avseende dataskydd samt föregående samråd
  • Artikel 35. Konsekvensbedömning avseende dataskydd
  • Artikel 36. Förhandssamråd


📜 Incidentberedskap och löpande underhåll är krav i GDPR.

Dataskyddsförordningen ställer krav på det förebyggande och löpande arbetet med säkerhet både vad gäller intrångsskydd, motståndskraft, säkerhetskopiering och inte minst löpande registerunderhåll. Personuppgiftsansvarig har det övergripande ansvaret för detta.

Att konsekvent välja externa GDPR-anpassade onlinetjänster som täcker verksamhetens behov är utgångsläget att rekommendera den överväldigande majoriteten av företagsledare i mindre företag. Ett sådant vägval löser problematiken ovan där du som Personuppgiftsansvarig då för alla dina tjänster omger dig med kvalificerade Personuppgiftsbiträden vilka tar det tekniska och organisatoriska ansvaret för driften via programvara som tjänst och ger stöd vid en incident.

För det mindre företaget är det också särskilt angeläget att kunna få support och vägledning av ett "huvudbiträde" med god kännedom om verksamheten, som kan vara behjälplig i frågor som är programöverskridande. Alltså där ett arbetsflöde omfattar flera olika programvaror, system och tjänster samt deras integration i arbetsflödet.
(Beteckningen "Huvudbiträde" är ingen formell benämning utan ett synsätt på ett löpande samarbete med ett leverantörsbiträde med ambition att erbjuda hjälp med arbetsflöden och integration mellan olika tjänster.)

📜 Faktiska åtgärder för att förebygga incidenter

Användarverksamheten, här betecknad som "vi" och som i "vår policy", är den juridiska person (oftast ett företag) som köper rätten att använda webbtjänsten baserat på WOLF programvara.

Vi i vår verksamhet (som användare av WOLF) ansluter oss till denna generella policy där modellen är att använda oss av seriösa internetbaserade programtjänster i Sverige med uttalad integritetspolicy och personuppgiftsbiträdesavtal, där tjänsten svarar för alla frågor om säkerhet, transport och lagring.

Vi svarar själva för att personuppgifter som läggs in i de system som vi använder har laga grund och är av god kvalité i respekt för våra kunder och andra personer vars personuppgifter vi har behov av att lagra.

För mejl använder vi oss av WOLF webbmejl med krypterad överföring, för att kunna hantera mejl inom verksamheten på ett säkert sätt när t.ex. mejlformulär används på vår WOLF hemsida.

Genom denna policy kan vi undvika att lagra personuppgifter lokalt på våra datorer och mobila enheter. Vi slipper ansvar för programunderhåll, programuppdateringar, har alltid senaste programversionen och våra leverantörer tillhandahåller aktiva dataskydd med incidentberedskap och biträde om incident skulle inträffa i något av deras system eller i anslutning till användandet av dem.

Genom att på detta sätt flytta lagring av personuppgiftshantering till externa aktörer så löser vi GDPR på ett elegant sätt och istället för att få ett tekniskt ansvar så reduceras vårt praktiska ansvar till mjuka frågor som bedömningar, beslut, avtal, samordning och dokumentation.

💡 Vårt avtal med Prudentes Utveckling KB genom användandet av deras programvara WOLF, ger oss även vad vi kallar ett huvud-personuppgiftsbiträde som bistår oss i frågor runt praktisk GDPR i vardagen för vårt programanvändande. Även i frågor som gäller samverkan och samspel mellan olika programvaror från olika leverantörer i våra arbetsflöden, samt rådgivning för säkerheten på våra lokala enheter.
Om en incident inträffar i vår verksamhet så bistår de med ett generellt incidentstöd utöver det stöd som vi kan påräkna från respektive tjänsts personuppgiftsbiträde. De bistår oss även i kontakter, alternativt med underlag vid förfrågningar från Tillsynsmyndigheten, samt bistår vid det löpande underhållet av det lagstadgade Behandlingsregistret vid upprättandet och vid förändringar i tjänsterna, byte av tjänster, nytillkomna eller avslutade dito när vi informerar dem om förändringen, så att vår dokumentation lever upp till myndigheternas krav på oss och för allmänhetens förtroende, i harmoni med våra policys rörande personuppgifter.
(Prudentes Utveckling KB är en IT-konsultverksamhet. Om vi som användarverksamhet hamnar i en juridisk tvist om GDPR med tredje part, så kan det för oss bli nödvändigt att anlita formell juridisk hjälp.)

Detta förutsätter även att vi följer de generella kraven i GDPR om tidsfrister för rensning av personuppgifter och för att detta ska uppfyllas så är det särskilt viktigt att vi stödjer och följer hanteringsrutinerna för e-posten samt i arbetet stödjer och inte motarbetar WOLF's automatiska funktioner för löpande rensning.

I e-posten ska radering ske snarast av alla mejl som innehåller personuppgifter. Där det finns anledning att spara innehåll så ska detta flyttas till WOLF-registret Kund & Kontakt för uppfyllelse av kraven om hantering av personuppgifter i GDPR.
Använd alltid den inbyggda webbmejlen och spara inga mejladresser eller andra adressuppgifter i mejlprogrammet utan hämta alltid dessa direkt från Kund & Kontakt där det framgår för vilka ändamål som mottagarens mejl får användas och vad personen gett sitt samtycke till.

  • Ovan sagda är vår policy som är giltig mot Prudentes Utveckling KB
  • Detta tills vi som användande verksamhet väljer att ändra vår policy, baserat på att det är vi som har ansvaret via vår Personuppgiftsansvarig.
  • Men, vi måste då tänka på att om vi ändrar förutsättningarna så förändras också balans och ansvar.
  • Vi avgör, men allt bygger på avtal mellan oss och våra personuppgiftsbiträden och då inte minst det vi kallar vårt huvud-personuppgiftsbiträde.
  • Vi är också införstådda med att om vi ändrar denna generella överenskommelse så kan även behov av annan dokumentation uppstå för efterlevnaden av GDPR.