Att tänka på när du ska anlita en extern DPO

Att tänka på när du ska anlita en extern DPO

Många organisationer kommer att behöva tillsätta en DPO (Data Protection Officer). Det naturliga beslutet blir antingen att nyttja en befintlig intern resurs eller att anställa en ny person. För många är det senare inte en effektiv lösning. Anledningen är att en DPO för de allra flesta organisationer är en deltidstjänst. Det är också en specialisttjänst som det inte är så lätt att hitta kompetens för internt. Det kommer också att skapas många “best practise” kring hur företag i olika branscher behöver jobba med GDPR för att balansera rätt mellan juridik, kundförväntan och affärsrisk. En extern DPO kommer ha lättare att hantera denna balansgång.

Det finns också beskrivet i GDPR att en DPO ska vara oberoende och inte kunna styras av beslut i organisationen. Det ansvaret blir lättare att leva upp till om det är en extern inhyrd resurs. 

GDPR beskriver också att en DPO inte får ha andra uppgifter i organisationen som kan komma i konflikt med DPO ansvaret. Detta underlättas om tjänsten läggs på en tredje part. Det är dock viktigt att den personen inte har andra uppdrag i organisationen som kan förorsaka dessa intressekonflikter.

Vad ska jag tänka på då jag ska anlita en extern DPO?

Följande saker är viktiga att tänka på när du ska ta in en extern resurs i rollen som DPO:

Hitta rätt kompetens

Det är självklart att personen i fråga bör besitta rätt kompetens och bakgrund för att kunna utföra arbetet. Det är lämpligt att man har kompetens och förståelse rörande:

  • • GDPR
  • • IT service management och underhåll av IT system
  • • Kunskap från relevant bransch och dess kritiska affärsprocesser, både internt och externt.
  • • Datasäkerhet
  • • Grundläggande förståelse för juridik

Dessa områden är viktigast att din DPO tar hand om:

  • • Arbeta med att processer och policys för hantering av ansvar inom GDPR följs och fungerar på en löpande basis
  • • Fortlöpande utbildning
  • • Rapportering av incidenter till myndigheter
  • • Delta i ledningsmöten där frågor kring Personinformation diskuteras
  • • Göra riskanalys om GDPR inte följs
  • • Agera som kontaktperson mot kunder och internt vid frågor om hantering av personuppgifter
  • • Utvärdera nya system så att de är konstruerade enligt principen privacy by design
  • • Säkra att nuvarande system uppgraderas och utvecklas över tid för att på ett effektivt sätt stötta GDPR
  • • Säkra att avtal med Personuppgiftsbiträden är korrekt utformade.

Vad behöver ett avtal innefatta?

  • • Tydligt ansvar- och rollbeskrivning
  • • Tillgänglighet
  • • Sekretessavtal
  • • Prismodell med avseende på fastpris, rörligt pris alt. hybridlösning av de båda
  • • Information kring vad som händer då avtalet upphör så att överlämning enkelt kan ske till en ersättare, externt eller internt
  • • Överenskommelse rörande ev. offentlig publicering dvs. hur ni kan använda personens namn offentligt som er DPO

 

Behöver du hjälp med frågor som rör DPO-rollen i er organisation? Kontakta oss så kan vi hjälpa dig vidare!

By | 2018-03-07T11:25:06+00:00 mars 7th, 2018|Modern IT-Strategi|0 Comments
Loading...