rectangle 25 2

Vad innebär GDPR för din IT-miljö? Praktiska krav och lösningar

Vet ni hur er IT-miljö står sig mot GDPR? Nu pratar vi inte nya dokument i någon pärm, utan vad som händer om någon faktiskt vill se hur ni hanterar personuppgifter i era system. Det är lätt att tro att GDPR bara är en juridisk fråga, men sanningen är att IT ofta är själva ryggraden för regelefterlevnad. Här får du koll på vad som gäller – och ett par fallgropar att akta dig för (japp, jag har själv råkat ut för mer än en).

Vad är GDPR och varför bry sig som IT-ansvarig?

GDPR – eller dataskyddsförordningen – styr hur personuppgifter ska hanteras, lagras och skyddas. Glöm inte att ‘personuppgift’ kan vara allt från namn och e-post till loggar eller IP-adresser. Böter kan bli kännbara om något går snett, men framför allt kan det bli ett riktigt huvudbry med snabba frågor från Datainspektionen (eller Integritetsskyddsmyndigheten som de faktiskt heter nu).

IT-avdelningen är ofta lite som portvakten – mycket av er regelefterlevnad hänger på att ni har schyssta processer och teknik som håller tätt.

Vilka GDPR-krav gäller för IT-miljön?

Det finns några tydliga punkter där IT-miljön ska vara på topp. Missar du någon av dessa kan det bli svårt att visa att ni gör rätt om någon frågar:

  • Begränsad åtkomst – Alla behöver inte se allt. Se till att bara rätt personer har tillgång till rätt information.
  • Säkra lagringsytor – Personuppgifter ska helst inte ligga kvar i gamla mappar eller testmiljöer.
  • Backup och återställning – Kopior får inte bli en dump där personuppgifter lever kvar för evigt.
  • Loggning – Ha koll på vilka som varit inne var, när och hur. Utan att själva loggarna skapar nya personuppgifter i onödan.
  • Rätt till radering – Du måste kunna radera personuppgifter snabbt och effektivt. Och ja, det gäller även gamla mejl-backuper.

Jag har sett mer än ett företag tappa hakan när någon ber om att bli helt bortplockad ur alla register. Att ”det ordnar vi väl enkelt” blir ofta ”hmm, vänta, låg det där också…” Lägg energi på en bra och enkel process redan nu.

Kontrollera era leverantörer

Många använder externa molntjänster. Då räcker det inte att lita blint på en grön nyckelikon på leverantörens webbplats. Ta reda på:

  • Var datan fysiskt lagras (EU/EES är det som gäller om ni vill sova lugnt).
  • Vilka underleverantörer som har tillgång till era system och data.
  • Att ni har personuppgiftsbiträdesavtal (PUB-avtal) på plats.

Det här glöms ofta bort när någon snabbt slår på en ”gratis” molntjänst för att testa ett nytt verktyg. En gång hjälpte jag en kund som inte hade koll på att en CRM-app skickade data till USA – det blev onödigt mycket huvudvärk.

Hur hanterar ni personuppgifter i vardagen?

Krav och teorier i all ära – det är vardagens små misstag som ofta ställer till det. Några snabba exempel på saker att se över direkt:

  • Lagra inte personuppgifter i ostrukturerade mappar.
  • Skicka inte personuppgifter okrypterat på mejl.
  • Ha automatiska rutiner för att rensa bort gamla filer och e-post.
  • Utbilda personalen om vad som är en personuppgift (det är fler saker än man tror – typ inloggningsnamn).
  • Inför enkel rapportering för misstänkta incidenter eller fel.

Och nej, det räcker inte att ”slå på antiviruset” och tro att jobbet är klart. GDPR handlar om ordning ocÅh – minns när jag själv fick jaga efter gamla Excel-filer som låg kvar på någons skrivbordslampa. Det tog en heldag (och kaffe på macken).

Praktiska steg för att leva upp till GDPR i IT-driften

Du behöver inte bygga om hela IT-miljön på en gång. Ta små steg som faktiskt gör skillnad:

  • Börja med en inventering – var finns personuppgifter? Gör det som ett ”skattjaktprojekt” med kollegorna. Priset kan vara fika på fredag.
  • Gör en enkel riskbedömning – vad händer om någon får obehörig åtkomst?
  • Sätt upp tydliga rutiner för borttagning och åtkomst (manual på två sidor – inte tre ringpärmar).
  • Använd multifaktorsinloggning på viktiga system – ett extra hinder räcker långt.
  • Automatisera rensning där det går (det är skönt att slippa komma ihåg det).

Och skulle du fastna: ta hjälp. Det är mycket bättre att fixa risker i tid än att försöka sopa igen spåren efteråt.

Vanliga fallgropar och snabba tips

  • ”Testmiljön” glöms ofta bort vid rensning – där samlas ofta glömda personuppgifter.
  • Backupen blir kvar för länge – sätt en rutin för borttagning där också.
  • Kringresande USB-minnen och bärbara hårddiskar är en klassiker. Säkra upp åtkomsten, eller, ännu bättre, använd aldrig fysiska flyttbara lagringsytor för personuppgifter.
  • Låt inte gamla användare ligga kvar som aktiva i systemen. Stäng av direkt när någon slutar.

En gång hittade vi en hel mail-backup från 2011 på en gammal användares hemmakatalog. Precis sånt som gör att man vill klia sig i huvudet när revisionen knackar på.

Summering

GDPR är inte raketforskning – men det kräver att ni har koll på era processer och system. Små steg, löpande ordning och klara rutiner gör att ni kan sova gott (och slipper stressdricka kaffe inför revisionen).

Behöver du bolla era rutiner, eller är IT-miljön ett litet mysterium? Hör av dig till mig så tar vi ett snack på telefon eller över e-post: mattias.pettersson@itevo.se eller 022-21 00 02.

Fler nyheter

Möjligheter & Framgångar
3 skäl att välja fullservice-IT istället för intern personal – spara tid, pengar och slipp huvudvärk
3 skäl att välja fullservice-IT istället för intern personal – spara tid, pengar och slipp huvudvärk

3 skäl att välja fullservice-IT istället för intern personal – spara tid, pengar och slipp huvudvärk

Outsourca hela IT-driften och stärk företagets resultat direkt. Här får du 3 snabba skäl att byta till fullservice-IT. Boka en konsultation idag!

Läs mer

2025 augusti 7