For snart et år siden offentliggjorde informasjonskommisjonen sine funn om hvordan et utvalg lokale myndigheter utførte sine hendelsesadministrasjon og informasjonsrisiko. Nå ICO har oppdatert sine GDPR-veiledninger for lokale myndigheter, spesielt rundt bruddrapportering og DPOer.
ICO anbefaler at ledere og toppledere i lokale myndigheter er spesielt oppmerksomme på hvordan de vil håndtere risiko, informasjon og opplæring av ansatte. I tillegg til:
Det er også viktig å være klar av lokale myndigheters retningslinjer rundt åpenhet og utlevering av informasjon til offentligheten, i hemmelighet til partnere, eller for å holde data sikre.
Som berørt ovenfor, effektiv opplæring i informasjonssikkerhet bør gis til alle ansatte. De bør forstå viktigheten av å sikre at bare relevant informasjon skal sendes til eksterne mottakere og ta skritt for å sikre at informasjonen er mottatt.
Informasjonskommissærens kontor har laget en liste med spørsmål som ledere og toppledere bør stille seg angående Personlig informasjon.
Dette er en henvisning til formålsbegrensningsprinsippet i artikkel 5 i GDPR hvor det står at «personopplysninger skal samles inn for spesifiserte, eksplisitte og legitime formål og ikke viderebehandles på en måte som er uforenlig med disse formålene."
Hvis det nye eller endrede formålet med å behandle data er det samme som det opprinnelige, er det ikke nødvendig å lete etter et nytt lovlig grunnlag, med mindre det opprinnelige grunnlaget som ble brukt var samtykke. Når du vurderer et nytt grunnlag, bør du sørge for at det er i allmennhetens interesse eller er for vitenskapelig forskning og statistiske formål.
Å sørge for at kontaktdetaljer er oppdatert, samt samtykke, kan spare tid og penger, redusere antall brev som sendes til feil adresser og e-poster som sendes til personer som ikke er interessert i nyhetene eller tjenestene dine.
De GDPR sier at når man samler inn personopplysninger, bør det gis en tidsramme for å angi hvor lenge du planlegger å beholde den.
De Generell databeskyttelsesforskrift endrer kravene til rapportering av brudd til Informasjonskommissærens kontor. Et brudd må rapporteres innen 72 timer etter at organisasjonen ble oppmerksom på det. For at lokale myndigheter skal kunne oppfylle dette kravet, klar hendelsesplanlegging må på plass til å begynne med.
Så hva bør lokale myndigheter spørre seg selv?
Sørg for at alle ansatte i myndighetene er i stand til å forstå hva et datainnbrudd er og kan identifisere én gang. Dette handler like mye om arbeidskultur som det er en treningsmulighet. Lederne i en organisasjonen bør gå foran som et godt eksempel.
Utarbeid en responsplan for å håndtere eventuelle brudd på personopplysninger som oppstår, og sørg for at personalet vet hvem ansvarlig person er for å rapportere brudd til ICO.
Lag prosesser for å vurdere om et brudd sannsynligvis vil forårsake en risiko til individets rettigheter og friheter, varsle ICO om et brudd, og en plan for kontinuerlig forbedring.
Minimum beståttkarakterer bør settes for opplæring av ansatte rundt GDPR og databeskyttelse. Under visse omstendigheter, spesialist opplæring i informasjonssikkerhet kan være nødvendig. GDPR foreslår at opplæringen bør oppdateres årlig.
En skreddersydd praktisk økt basert på dine behov og mål