Ökade rättigheter innebär ökade skyldigheter
Som en följd av att de enskildas rättigheter har utökats i och med GDPR så är det en naturlig konsekvens att även skyldigheterna för den personuppgiftsansvarige har ökat.
Integritetsskydd och säkerhet
En av GDPR:s slagord är ”Privacy by design and default”. Det betyder kort och gott att man alltid ska ha ett säkerhetstänk genom hela processen; i sina system och i sina rutiner, men även när det kommer till det organisatoriska – och att detta ska vara grundläget.

Register
Personuppgiftsansvarige ska föra register på all behandling som sker. Det finns förvisso tillfällen då register inte krävs, men att föra register är ett bra sätt att ha koll på vad man verkligen gör, samt så kan det vara svårt att uppfylla de andra kraven inom GDPR utan ett.
Personuppgiftsbiträdesavtal
Om du arbetar med en extern partner, ett så kallat personuppgiftsbiträde (DPA), som behandlar personuppgifter så bör du se över dessa avtal, och skapa om de saknas.
Personuppgiftsincidenter
Om det skulle hända något i dina system så måste du anmäla dessa incidenter, i vissa fall – om de är av större vikt – inom 72 timmar. Då ska du kunna:
- Beskriva incidenten
- Tala om vilka som har berörts
- Meddela både tillsynsmyndigheten (Datainspektionen) och den registrerade
- Meddela konsekvenserna
Är det en mindre incident så är detta inte nödvändigt, men du behöver föra ett register på dem. För att svara på ovanstående är det således oerhört viktigt att du vet vilka uppgifter hanterar du och var de finns.
Risk- och konsekvensanalys
Om du tror att en viss behandling kan leda till en öka risk för de enskildas integritet så kan du i vissa fall göra en risk- och konsekvensanalys. Detta sker i så fall i samråd med Datainspektionen.