GDPR i praktiken

Seminarium GDPR

Den nya dataskyddskyddsförordningen (GDPR) kommer från och med 25 maj 2018 att ersätta PuL och utöka kraven på hantering av personuppgifter. Förordningen innehåller utökade krav och skyldigheter för både personuppgiftsansvariga och personuppgiftsbiträden. Det innebär att det även kommer att påverka oss som IT- och systemleverantör som behandlar personuppgifter för andras räkning. Detta är en av nyheterna i förordningen – att skyldigheter som tidigare gällt för den personuppgiftsansvarige nu även gäller för personuppgiftsbiträdet. Det gäller till exempel kraven på att föra register över behandlingar, att säkerställa en lämplig säkerhetsnivå och att i vissa fall utse ett dataskyddsombud.

Med detta i åtanke är det extra viktigt för oss att vara på tårna och att vi säkerställer dels att reglerna följs internt men framför allt att våra kunder har affärssystem som är redo när förordningen börjar gälla.

GDPR ur ett affärssystemsperspektiv

Det pågår just nu ett utvecklingsarbete hos oss med syfte att angripa en GDPR-strategi utifrån affärssystemet och underlätta för våra kunder att kunna efterleva GDPR-kraven. Som en del i detta har vi genomgått en certifiering inom GDPR-området. En av våra numera s.k. DPO (Data Protection Officer), eller Dataskyddsombud som det heter på svenska, är Håkan Bengtsson som med sin långa erfarenhet av system- och lösningsarkitektur, leder vårt arbete framåt tillsammans med kunderna.

I utvecklingsprocessen tittar vi på de viktigaste frågeställningarna för att se över vad som behöver göras i systemen för att stödja de nya kraven. Exempel på sådana frågeställningar kan vara: vilka personuppgifter är det som behandlas i affärssystemet? Hur lång tid lagras informationen? Var i systemet lagras det och hur ser rutinen ut för när någon vill bli ”bortglömd”? Utifrån förordningens krav och dessa frågeställningar har vi utvecklat en GDPR-lösning för affärssystemet som finns bland många av våra kunder – Microsoft Dynamics NAV. Nedan beskriver vi några grundläggande principer för GDPR, och hur vi halt valt att angripa detta med hjälp av vår lösning för NAV.

Grundläggande principer
  • Laglighet, korrekthet och öppenhet
    • Vilket innebär att vi bör minimera överlagring så långt det går.
  • Ändamålsbegränsning
    • Tänk på att samla in information för ett givet syfte.
  • Uppgiftsminimering
    • Tänk på att enbart samla in NÖDVÄNDIG information.
  • Korrekthet
    • Vid lagring över flera år, bör vi säkerställa att lagrad information är uppdaterad och korrekt.
  • Lagringsminimering
    • Tänk på att enbart lagra information så länge som det krävs och behövs för en optimal kundupplevelse.
  • Integritet och ansvar
    • Behandla informationen på ett ansvarsfullt sätt.
Privatpersonernas rättigheter – och exempel på hur affärssystemet kan underlätta i praktiken
  • Rätt att bli bortglömd
    • Vi har utvecklat en funktion för att anonymisera en kund och dess personuppgifter. Personuppgifter ersätts med ”XXXXXX”. Det finns även funktioner för anonymisering av personuppgifter som fullgjort sitt syfte. Exempelvis efter X antal månader efter utleverans av order. Ett annat alternativ är att använda en funktion som regelbundet anonymiserar övriga personuppgifter efter X antal månader.

 

  • Rätt till vetskap om vilka personuppgifter som hanteras
    • Sökfunktion finns tillgänglig för att skapa en vy över kunduppgifter och orderhistorik baserat på e-postadress, telefonnummer eller personnummer.
  • Rätt till dataportabilitet
    • Vi har utvecklat en funktion för att exportera information från affärssystemet i ett läsbart format.
Avslutningsvis

GDPR är en stor omställning för många företag. De flesta är förhoppningsvis i slutfasen av sitt arbete vid det här laget. Den vanligaste inställningen är att det är ett nödvändigt ont som kräver dyra och krångliga anpassningar. Många har fått erfara hur lång tid det tagit att kartlägga och hitta nya rutiner. Och att det handlar om skyhöga sanktioner för verksamheter som inte sköter sig har väl ingen missat. Vi vill ändå försöka bortse från ”piskan” ett tag och istället fokusera på ”moroten” för skapa en något positivare inställning. Se GDPR som ett tillfälle att effektivisera och förbättra interna processer, rutiner och system. Ni får bättre koll på era personuppgifter och var de finns lagrade, oavsett vilka system eller platser de finns på. Struktur och kontinuitet blir ledorden, för när det stora GDPR-jobbet är gjort börjar en ny resa: att hålla det levande.

Allt om GDPR

Datainspektionen har mycket bra och detaljerad information om vad som gäller om lagen generellt. Du hittar allt du behöver veta på Datainspektionens hemsida.

Kontakta gärna oss om du vill veta mer om hur affärssystemet Microsoft Dynamics NAV kan hjälpa er att efterleva GDPR-kraven.
Mer läsning

Prenumerera på våra artiklar:

Kunder berättar: