Extern eller intern DSO

Är det dags att utse ett nytt Dataskyddsombud (DSO)? Eller tillsätta rollen för första gången? Då finns det några vägval ni behöver göra. Ett av dessa vägval är om ni ska ha en extern eller en intern DSO. Det vill säga, ska ni anlita en konsult eller ska ni tilldela DSO-rollen till en anställd? Vi har listat för- och nackdelar med båda alternativen för att underlätta ert val.

 

Är DSO:n oberoende?

Enligt GDPR ska ett Dataskyddsombud kunna arbeta självständigt och oberoende. Det betyder att DSO:n inte får bli påverkad av verksamheten. Personen får inte ha arbetsuppgifter eller mandat att fatta beslut som strider med uppdraget som DSO. Det är exempelvis inte lämpligt att personen arbetar med att fatta beslut som berör kärnverksamhetens personuppgiftshantering. Ett exempel på detta kan vara om en CISO har rollen som DSO samtidigt som hen ansvarar för att ta beslut om när en personuppgiftsincident ska anmälas

Väljer ni att tillsätta DSO-rollen internt är det därför viktigt att fundera på om en intressekonflikt finns. Är ni osäkra på om det råder en intressekonflikt eller om ni vill vara säkra på att er DSO är oberoende är det därför bäst att tillsätta rollen externt.

 

Känner DSO:n verksamheten?

För att en DSO ska kunna utföra sitt arbete krävs det att hen har kännedom om kärnverksamheten. Genom att tillsätta DSO-rollen till en anställd som arbetat i organisationen en längre tid kan ni vara säkra på att ni uppfyller det kravet. Kanske har personen redan lite koll på hur ni hanterar personuppgifter och hur er IT-säkerhet fungerar? Ännu bättre. Då kliver er nya DSO in i rollen med lite kött på benen.

Däremot är detta inte ett hinder vid val av en extern DSO. Ibland kan det vara bra med någon som kommer in och ser verksamheten med nya ögon. Då ställs ofta frågor ni inte hade ställt till er själva, vilket kan leda till att risker identifieras snabbare. Dessutom har ofta duktiga konsulter en god kännedom om flera olika typer av verksamheter och kan därför snabbt sätta sig in i även er organisation.

 

Får DSO:n rätt resurser?

För att ett Dataskyddsombud ska kunna se till att GDPR efterlevs och att personuppgifter hanteras korrekt krävs rätt resurser. Det innebär bland annat att personen ska få tillräckligt med tid att utföra sina uppgifter, ha goda kunskaper inom dataskyddslagstiftning och att hen ska få vidareutbildning inom området.

Många organisationer har svårt att hitta intern personal som kan avsätta den tid som krävs och som har rätt kunskap inom dataskydd. Ofta innebär det att personen blir DSO på en viss procentsats och behåller sina övriga arbetsuppgifter. Ibland leder detta till att tiden inte räcker till och att dataskyddsansvaret eller övrigt ansvar blir lidande. Dessutom ställer det krav på arbetsgivaren att erbjuda utbildning till den anställda. Inte bara i den anställdas primära roll utan även i rollen som dataskyddsombud.

För att underlätta hanteringen och säkerställa att anställd personal fokuserar på kärnverksamheten väljer därför många en extern DSO.

 

Valet av extern eller intern DSO

Både en intern och extern resurs i rollen som DSO har sina för- och nackdelar. Med en intern DSO får ni oftast verksamhetskännedom, men ni binder däremot upp era befintliga resurser i andra frågor.

Med en extern DSO får ni oberoendet garanterat och outsourcar hantering av utbildningsinsatser. Dessutom får ni tillgång till en bred kunskapsbas eftersom personen ofta agerar DSO för flera verksamheter.

Letar ni efter en extern DSO? Läs mer om Dataskyddsombud som tjänst här.

Relaterat innehåll:

Konsten att kommunicera i informationssäkerhetsfrågor

Konsten att kommunicera i informationssäkerhetsfrågor

Ett snabbt förändrat säkerhetslandskap kräver informerade och handlingskraftiga organisationer. Som CISO behöver du idag kunna övertyga både medarbetare, ledning och beslutsfattare om vikten av frågorna. Så hur lyckas du i praktiken? Välkommen på ett webinar där Håkan Sonesson, CISO på Jönköping University, delar över 25
Läs mer »
En bild på en skog i kommuner

Förberedelser inför NIS2 -direktivet: En guide för kommuner

Vi närmar oss snabbt införandet av det nya NIS2-direktivet och många offentliga aktörer ställer sig nu frågan om de kommer omfattas eller inte. Det nya direktivet kommer innebära att offentliga aktörer kommer omfattas i betydligt högre utsträckning än tidigare. Som direktivet är skrivet kan det
Läs mer »