For næsten et år siden offentliggjorde Informationskommissærens kontor deres resultater om, hvordan et udvalg af lokale myndigheder udførte deres incident management og informationsrisiko. Nu ICO har opdateret deres GDPR-vejledning for lokale myndigheder, især omkring brudrapportering og DPO'er.
ICO anbefaler, at ledere og seniorledere i lokale myndigheder er særligt opmærksomme på, hvordan de vil håndtere risici, information og personaleuddannelse. Såvel som:
Det er også vigtigt at være opmærksom på af den lokale regerings politikker omkring gennemsigtighed og frigivelse af information til offentligheden, hemmeligt til partnere eller for at holde data sikker.
Som nævnt ovenfor, effektiv informationssikkerhedsuddannelse skal gives til alle medarbejdere. De bør forstå vigtigheden af at sikre, at kun relevante oplysninger sendes til eksterne modtagere og tage skridt til at sikre, at oplysningerne er modtaget.
Informationskommissærens kontor har udarbejdet en liste over spørgsmål, som ledere og topledere bør stille sig selv vedrørende personlige oplysninger.
Dette er en henvisning til formålsbegrænsningsprincippet i artikel 5 i GDPR, hvor det hedder, at "personlige data skal indsamles til specificerede, eksplicitte og legitime formål og ikke viderebehandles på en måde, der er uforenelig med disse formål”.
Hvis det nye eller ændrede formål med behandling af data er det samme som det oprindelige, er der ingen grund til at lede efter et nyt lovligt grundlag, medmindre det oprindelige grundlag var samtykke. Når du overvejer et nyt grundlag, bør du sikre dig, at det er i offentlighedens interesse eller er til videnskabelig forskning og statistiske formål.
At sikre, at kontaktoplysningerne er opdaterede, samt samtykke, kan spare tid og penge, hvilket reducerer antallet af breve, der sendes til de forkerte adresser og e-mails, der sendes til personer, der ikke er interesserede i dine nyheder eller tjenester.
GDPR fastslår, at når der indsamles persondata, bør der gives en tidsramme for at angive, hvor længe du planlægger at beholde den.
Generel databeskyttelsesforordning ændrer kravene til indberetning af et brud til Informationskommissærens kontor. Et brud skal rapporteres inden for 72 timer efter, at organisationen er blevet opmærksom på det. For at lokalregeringen skal kunne opfylde dette krav, klar hændelsesplanlægning skal være på plads til at starte med.
Hvad skal de lokale myndigheder så spørge sig selv om?
Sørg for, at alle ansatte i regeringsafdelingen er i stand til at forstå, hvad et databrud er, og kan identificere én gang. Dette handler lige så meget om arbejdskultur, som det er en træningsmulighed. Lederne i en organisationen skal gå foran med et godt eksempel.
Udarbejd en responsplan for håndtering af eventuelle brud på persondatasikkerheden, og sørg for, at personalet ved, hvem der er ansvarlig person er for at rapportere brud til ICO.
Opret processer til at vurdere, om et brud sandsynligvis vil forårsage en risiko til individets rettigheder og friheder, underretning af ICO om et brud og en plan for løbende forbedringer.
Der bør fastsættes minimumsbeståelseskarakterer for uddannelse af personale omkring GDPR og databeskyttelse. Under visse omstændigheder, specialistuddannelse i informationssikkerhed kan være påkrævet. GDPR foreslår, at træningen skal opdateres årligt.
En skræddersyet hands-on session baseret på dine behov og mål