start_kunskapsbank_1

Kunskapsbank

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed tempus pulvinar orci nec fringilla. Nam molestie sed.

Ska du köpa ett nytt IT-system och har du funderingar kring GDPR? Här kommer några tips på hantering av kravställning kring GDPR som baseras på det senaste årets erfarenheter. Men vi börjar med att ställa några frågor: När ska egentligen ett genomförandeprojekt ta ställning till GDPR-krav? Och vilka krav kan man utreda senare i projektet?

Verksamheter som hanterar stora mängder personuppgifter (eller känsliga personuppgifter!) har högre GDPR-krav på sig än andra. Dessutom har de oftast också fler ärenden att hantera, vilket ökar lönsamheten i automatisering av rutinärenden. För sådana organisationer så bör följande krav utredas tidigt i ett genomförandeprojekt:

  • ”Kunder ska själva kunna ta ut registerutdrag från Mina sidor”
  • ”Kunder som ringer in till kundtjänst ska kunna bevisa sin identitet med Bank-id”
  • ”För att få öppna ett ärende, så ska användaren antingen vara arbetsledare inom enheten, eller ha ärendet tilldelat”

Behörighetshantering och integrationer bör hanteras tidigt

Frågor om behörighetshantering behöver alltså bottnas tidigt. Går det dessutom att bottna krav som innebär integrationer mot andra system (exempelvis kundwebben, bank-id) som har påverkan på GDPR, så är det en stor fördel. När flera system delar personuppgifter så är det viktigt att tidigt definiera vilket (eller vilka) system som ska kunna ta initiativ till bortstädning/gallring av personuppgifter.

Ta fram systemets verksamhetskrav först

Det är dock inte självklart att alla GDPR-krav måste hanteras tidigt i kravställningsarbetet. Om kravställningen för systemets grundfunktioner fortfarande är under arbete, så kan det vara klokt att vänta med delar av GDPR-kravställningen tills ramar och affärsregler är bättre kända. Detta gäller särskilt regelverk kring:

  • Bulkvis bortstädning/gallring av personuppgifter som inte längre behövs
  • Manuellt borttag av enstaka personuppgift (=”rätten att bli glömd”)
  • Visning/döljning av uppgifter som bara får behandlas i vissa syften (tänk ”kunduppgifter som måste behållas enligt bokföringslagen… men som inte får användas av marknadsavdelningen”)

Det är alltså en stor fördel om det går att ta fram systemets direkta verksamhetskrav innan man börjar borra i regelverk för ovanstående.

Ett sista bra tips - säkerställ dokumentationen

Lova mig att du ser till att din systemleverantör underhåller dokumentation av vilka tabeller (och fält!) som innehåller personuppgifter. Inte bara idag, utan under hela systemets livslängd. Om sådan dokumentation saknas, så blir det på sikt omöjligt att underhålla GDPR-stödet i ditt system!

 

Guide: så planerar du din kravinsamling

Ladda ned dokument

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed tempus pulvinar orci nec fringilla.

Relaterade inlägg

MDR-blogg
Blogg
31 maj 2021

Så får du stöd för att möta upp mot MDR-kraven

Den 26:e maj trädde den nya EU‍-‍förordningen om medicintekniska produkter...
Blogg - Rutiner i all ära , men sitter ni fast
Blogg
22 februari 2021

Rutiner i all ära, men sitter ni fast?

Det är lätt att fastna i ekorrhjulet och ”så här har vi alltid gjort”. Det fungerar - et...

Om Multisoft

Revolutionerande low code platform

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed tempus pulvinar orci nec fringilla. Nam molestie sed enim quis volutpat. Phasellus ipsum tortor, porta id magna ac, bibendum vulputate.

Om oss

start_5050_2