Vilka säkerhetsåtgärder måste vi som företag vidta?

Dataskyddsförordningen (GDPR) innehåller inga uttryckliga krav på specifika säkerhetsåtgärder som ett företag måste vidta. GDPR ställer krav på lämpliga säkerhetsåtgärder som ger en lämplig säkerhetsnivå. Vilka säkerhetsåtgärder och vilken säkerhetsnivå som är lämpliga beror på ett antal faktorer. Det handlar bland annat om vilka uppgifter som behandlas, i vilken omfattning de behandlas, på vilket sätt de behandlas och vilka risker för den registrerades fri- och rättigheter som uppstår vid behandlingen. Dessutom ska man vid bedömningen av säkerhetsåtgärdernas lämplighet ta hänsyn till kostnaderna för åtgärderna och den senaste utvecklingen inom teknik- och säkerhetsområdet. Generellt kan man säga ju högre riskerna är desto högre nivå på säkerhet krävs för att minska de identifierade riskerna i så hög grad som möjligt.