GDPR kräver trygg hantering av personuppgifter från start till slut.
När organisationen gett de berörda individerna information om vad de behöver för personuppgifter, varför de behöver dessa och hur organisationen tänkt att förvara dem så skrivs det ett samtycke.
Detta för att ha underlag till att personuppgifterna faktiskt får hanteras av organisationen.
Det är sedan viktigt att ha koll över vilka uppgifter som ännu är aktuella. Organisationen ska inte behålla några personuppgifter som irrelevanta utan dessa ska i sådana fall raderas på ett passande sätt omgående. Här finns dock lite olika regler att ta hänsyn till då t.ex. redovisnings organisationer har krav på sig att behålla alla underlag i sju år.
Förutom att ha kontroll på att alla personuppgifter är aktuella är det viktigt att uppgifterna hanteras, samt skyddas, på rätt sätt.
Det innebär att inga uppgifter får hanteras i löpande text, de får alltså inte förekomma i t.ex. e-post. Det får heller inte ligga öppet eller oskyddad så att obehöriga personer kommer åt dem.
Desamma gäller själva behörigheten. Det är inte okej att hela organisationen har tillgång till alla uppgifter för att ”det är lättast”, utan endast personen som sköter själva hanteringen ska ha tillgång till personuppgifterna.