5 juni 2019
GDPR för IT-systemköpare – vilka erfarenheter tar vi med oss
Ska du köpa ett nytt IT-system och har du funderingar kring GDPR? Här kommer några tips på hantering av kravställning kring GDPR som baseras på det senaste årets erfarenheter. Men vi börjar med att ställa några frågor: När ska egentligen ett genomförandeprojekt ta ställning till GDPR-krav? Och vilka krav kan man utreda senare i projektet?
Verksamheter som hanterar stora mängder personuppgifter (eller känsliga personuppgifter!) har högre GDPR-krav på sig än andra. Dessutom har de oftast också fler ärenden att hantera, vilket ökar lönsamheten i automatisering av rutinärenden. För sådana organisationer så bör följande krav utredas tidigt i ett genomförandeprojekt:
- ”Kunder ska själva kunna ta ut registerutdrag från Mina sidor”
- ”Kunder som ringer in till kundtjänst ska kunna bevisa sin identitet med Bank-id”
- ”För att få öppna ett ärende, så ska användaren antingen vara arbetsledare inom enheten, eller ha ärendet tilldelat”
Behörighetshantering och integrationer bör hanteras tidigt
Frågor om behörighetshantering behöver alltså bottnas tidigt. Går det dessutom att bottna krav som innebär integrationer mot andra system (exempelvis kundwebben, bank-id) som har påverkan på GDPR, så är det en stor fördel. När flera system delar personuppgifter så är det viktigt att tidigt definiera vilket (eller vilka) system som ska kunna ta initiativ till bortstädning/gallring av personuppgifter.
Ta fram systemets verksamhetskrav först
Det är dock inte självklart att alla GDPR-krav måste hanteras tidigt i kravställningsarbetet. Om kravställningen för systemets grundfunktioner fortfarande är under arbete, så kan det vara klokt att vänta med delar av GDPR-kravställningen tills ramar och affärsregler är bättre kända. Detta gäller särskilt regelverk kring:
- Bulkvis bortstädning/gallring av personuppgifter som inte längre behövs
- Manuellt borttag av enstaka personuppgift (=”rätten att bli glömd”)
- Visning/döljning av uppgifter som bara får behandlas i vissa syften (tänk ”kunduppgifter som måste behållas enligt bokföringslagen… men som inte får användas av marknadsavdelningen”)
Det är alltså en stor fördel om det går att ta fram systemets direkta verksamhetskrav innan man börjar borra i regelverk för ovanstående.
Ett sista bra tips - säkerställ dokumentationen
Lova mig att du ser till att din systemleverantör underhåller dokumentation av vilka tabeller (och fält!) som innehåller personuppgifter. Inte bara idag, utan under hela systemets livslängd. Om sådan dokumentation saknas, så blir det på sikt omöjligt att underhålla GDPR-stödet i ditt system!