Labs Support
SV EN
EU-förordning 2016/679 - tillämpas sedan 25 maj 2018

GDPR kräver att ni bevisar att ni skyddar personuppgifter. Kan ni det?

Det räcker inte att följa reglerna. Ansvarsskyldigheten i artikel 5(2) innebär att ni måste kunna visa hur ni efterlever dem. Vid en granskning frågar tillsynsmyndigheten inte om ni följer GDPR. De ber er visa det.

99 artiklar
72 tim för incidentanmälan
20 milj EUR maximal sanktion
Boka demo Krav och verktyg
Ansvarsskyldigheten

Artikel 5(2) är GDPR:s kärna

Artikel 5(2) i GDPR säger att den personuppgiftsansvarige ska kunna visa att principerna efterlevs.

Vid en granskning frågar tillsynsmyndigheten inte "följer ni GDPR?". De frågar "visa oss hur ni följer GDPR". Utan dokumenterade processer, riskbedömningar och incidentloggar saknar ni svaret.

Det är här ett ledningssystem gör skillnad. Spridda dokument i mappar och kalkylblad räcker inte när myndigheten vill se spårbarhet. Ni behöver en struktur som kopplar policyer till processer, risker till åtgärder, och incidenter till uppföljning. I AmpliFlow bygger ni behandlingsregister, DPIA-loggar och samtyckesspårning med listor som kopplas till varandra, till avvikelser och till revisioner.

Krav

Vad GDPR kräver och hur AmpliFlow stödjer

AmpliFlow hanterar organisatorisk styrning. Här är de centrala GDPR-kraven mappade mot konkreta verktyg.

Register över behandlingar (Artikel 30)

GDPR kräver att ni för ett register över alla behandlingar av personuppgifter: varför ni behandlar dem, vilka kategorier av data, vem som har tillgång och planerade gallringsfrister.

AmpliFlow-verktyg Listor i AmpliFlow

Konsekvensbedömning / DPIA (Artikel 35)

Vid behandling som sannolikt medför hög risk för enskildas rättigheter krävs en konsekvensbedömning. Processen ska dokumenteras och beslutas av den personuppgiftsansvarige.

AmpliFlow-verktyg Riskbedömning i AmpliFlow

Hantering av personuppgiftsincidenter (Artikel 33–34)

Personuppgiftsincidenter ska anmälas till tillsynsmyndigheten inom 72 timmar. Vid hög risk ska även de registrerade informeras. Det kräver ett arbetsflöde som fångar, kategoriserar och eskalerar.

AmpliFlow-verktyg Avvikelsehantering i AmpliFlow

Rättigheter för registrerade (Kapitel III)

Tillgång, rättelse, radering, dataportabilitet. Ni behöver processer för att hantera begäran inom en månad och en logg över alla ärenden.

AmpliFlow-verktyg Listor + Avvikelsehantering i AmpliFlow

Dokumenterade policyer och rutiner

Dataskyddspolicy, behörighetsstyrning, gallringsrutiner. GDPR kräver att dessa finns, är tillgängliga och uppdateras.

AmpliFlow-verktyg Sidor (wiki) + Policy i AmpliFlow
Relaterat

Utforska mer

Listor

Bygg behandlingsregister och DPIA-loggar

ISO 27001

Informationssäkerhet som stödjer GDPR:s säkerhetskrav

NIS2 / cybersäkerhetslagen

Cybersäkerhetskrav som överlappar med GDPR

Avvikelsehantering

Hantera personuppgiftsincidenter
Vanliga frågor

Frågor om GDPR och AmpliFlow

Vad är GDPR?
EU-förordning 2016/679 som reglerar hur personuppgifter får behandlas. Gäller alla organisationer som behandlar personuppgifter om personer i EU, oavsett var organisationen finns. I kraft sedan 25 maj 2018.
Vilka organisationer omfattas?
Alla som behandlar personuppgifter om personer i EU. Det gäller oavsett storlek: företag, myndigheter, föreningar. Vissa undantag finns för rent privat behandling.
Vad är skillnaden mellan personuppgiftsansvarig och personuppgiftsbiträde?
Den personuppgiftsansvarige bestämmer varför och hur personuppgifter behandlas. Personuppgiftsbiträdet behandlar data på uppdrag av den ansvarige. Båda har skyldigheter enligt GDPR, men den ansvarige bär det yttersta ansvaret.
Vad händer vid en personuppgiftsincident?
Anmäl till tillsynsmyndigheten (Integritetsskyddsmyndigheten i Sverige) inom 72 timmar om incidenten sannolikt medför risk för enskildas rättigheter. Vid hög risk ska även de drabbade informeras.
Vilka sanktioner finns?
Upp till 20 miljoner EUR eller 4 % av global årsomsättning för allvarliga överträdelser (grundprinciper, registrerades rättigheter). Upp till 10 miljoner EUR eller 2 % för brister i organisatoriska skyldigheter.
Hur stödjer AmpliFlow arbetet med GDPR?
AmpliFlow hanterar den organisatoriska styrningen: listor för register över behandlingar (Artikel 30), personuppgiftsbiträden och samtyckesspårning, riskbedömning via riskmatriser för konsekvensbedömningar (DPIA), avvikelsehantering för personuppgiftsincidenter med 72-timmarsfrister, sidor (wiki) för policyer och rutiner, och kompetensmatriser för att säkerställa att personalen förstår dataskydd. Listorna kan kopplas till varandra och till andra delar av ledningssystemet.
Behöver vi ett dataskyddsombud (DPO)?
Enligt artikel 37 krävs DPO för: myndigheter (utom domstolar), organisationer vars kärnverksamhet innebär regelbunden och systematisk övervakning i stor skala, eller organisationer som i stor skala behandlar känsliga personuppgifter. Även om ni inte måste ha en DPO kan det vara klokt att utse en.
Kom igång

Vill ni se hur det fungerar?

Boka en demo så visar vi hur AmpliFlow kan stödja ert arbete med GDPR. Vi går igenom register, konsekvensbedömningar, incidenthantering och policyer.