start_kunskapsbank_1

Kunskapsbank

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed tempus pulvinar orci nec fringilla. Nam molestie sed.

Ska du köpa ett nytt IT-system och har du funderingar kring GDPR? Här kommer några tips på hantering av kravställning kring GDPR som baseras på det senaste årets erfarenheter. Men vi börjar med att ställa några frågor: När ska egentligen ett genomförandeprojekt ta ställning till GDPR-krav? Och vilka krav kan man utreda senare i projektet?

Verksamheter som hanterar stora mängder personuppgifter (eller känsliga personuppgifter!) har högre GDPR-krav på sig än andra. Dessutom har de oftast också fler ärenden att hantera, vilket ökar lönsamheten i automatisering av rutinärenden. För sådana organisationer så bör följande krav utredas tidigt i ett genomförandeprojekt:

  • ”Kunder ska själva kunna ta ut registerutdrag från Mina sidor”
  • ”Kunder som ringer in till kundtjänst ska kunna bevisa sin identitet med Bank-id”
  • ”För att få öppna ett ärende, så ska användaren antingen vara arbetsledare inom enheten, eller ha ärendet tilldelat”

Behörighetshantering och integrationer bör hanteras tidigt

Frågor om behörighetshantering behöver alltså bottnas tidigt. Går det dessutom att bottna krav som innebär integrationer mot andra system (exempelvis kundwebben, bank-id) som har påverkan på GDPR, så är det en stor fördel. När flera system delar personuppgifter så är det viktigt att tidigt definiera vilket (eller vilka) system som ska kunna ta initiativ till bortstädning/gallring av personuppgifter.

Ta fram systemets verksamhetskrav först

Det är dock inte självklart att alla GDPR-krav måste hanteras tidigt i kravställningsarbetet. Om kravställningen för systemets grundfunktioner fortfarande är under arbete, så kan det vara klokt att vänta med delar av GDPR-kravställningen tills ramar och affärsregler är bättre kända. Detta gäller särskilt regelverk kring:

  • Bulkvis bortstädning/gallring av personuppgifter som inte längre behövs
  • Manuellt borttag av enstaka personuppgift (=”rätten att bli glömd”)
  • Visning/döljning av uppgifter som bara får behandlas i vissa syften (tänk ”kunduppgifter som måste behållas enligt bokföringslagen… men som inte får användas av marknadsavdelningen”)

Det är alltså en stor fördel om det går att ta fram systemets direkta verksamhetskrav innan man börjar borra i regelverk för ovanstående.

Ett sista bra tips - säkerställ dokumentationen

Lova mig att du ser till att din systemleverantör underhåller dokumentation av vilka tabeller (och fält!) som innehåller personuppgifter. Inte bara idag, utan under hela systemets livslängd. Om sådan dokumentation saknas, så blir det på sikt omöjligt att underhålla GDPR-stödet i ditt system!

 

Guide: så planerar du din kravinsamling

Ladda ned dokument

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed tempus pulvinar orci nec fringilla.

Relaterade inlägg

KYC-bild
Blogg
23 november 2021

KYC-system som hjälper dig följa penningtvättslagen

KYC-system som hjälper dig följa penningtvättslagen I takt med en allt snabbare digital...
resursplanering_bild
Blogg
2 november 2021

Back to Basics med resursplanering

Back to basics med resursplanering Resursplanering är inte alltid lätt – men det behöve...

Om Multisoft

Revolutionerande low code platform

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed tempus pulvinar orci nec fringilla. Nam molestie sed enim quis volutpat. Phasellus ipsum tortor, porta id magna ac, bibendum vulputate.

Om oss

start_5050_2