Ska du köpa ett nytt IT-system och har du funderingar kring GDPR? Här kommer några tips på hantering av kravställning kring GDPR som baseras på det senaste årets erfarenheter. Men vi börjar med att ställa några frågor: När ska egentligen ett genomförandeprojekt ta ställning till GDPR-krav? Och vilka krav kan man utreda senare i projektet?

Verksamheter som hanterar stora mängder personuppgifter (eller känsliga personuppgifter!) har högre GDPR-krav på sig än andra. Dessutom har de oftast också fler ärenden att hantera, vilket ökar lönsamheten i automatisering av rutinärenden. För sådana organisationer så bör följande krav utredas tidigt i ett genomförandeprojekt:

  • ”Kunder ska själva kunna ta ut registerutdrag från Mina sidor”
  • ”Kunder som ringer in till kundtjänst ska kunna bevisa sin identitet med Bank-id”
  • ”För att få öppna ett ärende, så ska användaren antingen vara arbetsledare inom enheten, eller ha ärendet tilldelat”

Behörighetshantering och integrationer bör hanteras tidigt

Frågor om behörighetshantering behöver alltså bottnas tidigt. Går det dessutom att bottna krav som innebär integrationer mot andra system (exempelvis kundwebben, bank-id) som har påverkan på GDPR, så är det en stor fördel. När flera system delar personuppgifter så är det viktigt att tidigt definiera vilket (eller vilka) system som ska kunna ta initiativ till bortstädning/gallring av personuppgifter.

Ta fram systemets verksamhetskrav först

Det är dock inte självklart att alla GDPR-krav måste hanteras tidigt i kravställningsarbetet. Om kravställningen för systemets grundfunktioner fortfarande är under arbete, så kan det vara klokt att vänta med delar av GDPR-kravställningen tills ramar och affärsregler är bättre kända. Detta gäller särskilt regelverk kring:

  • Bulkvis bortstädning/gallring av personuppgifter som inte längre behövs
  • Manuellt borttag av enstaka personuppgift (=”rätten att bli glömd”)
  • Visning/döljning av uppgifter som bara får behandlas i vissa syften (tänk ”kunduppgifter som måste behållas enligt bokföringslagen… men som inte får användas av marknadsavdelningen”)

Det är alltså en stor fördel om det går att ta fram systemets direkta verksamhetskrav innan man börjar borra i regelverk för ovanstående.

Ett sista bra tips - säkerställ dokumentationen

Lova mig att du ser till att din systemleverantör underhåller dokumentation av vilka tabeller (och fält!) som innehåller personuppgifter. Inte bara idag, utan under hela systemets livslängd. Om sådan dokumentation saknas, så blir det på sikt omöjligt att underhålla GDPR-stödet i ditt system!

 

Guide: så planerar du din kravinsamling

Relaterade inlägg

linkedin-sales-solutions-multisoft_krav
Blogg
16 april 2024

Webinar | Effektiv kravhantering nyckel till framgångsrika IT-projekt

Välkommen till detta kostnadsfria webinar där du lär dig mer om hur du ska tänka inför o...
patrick-untersee-pI_2wdcdiDE-unsplash
Blogg
8 april 2024

Anpassat eller standardiserat system – vad passar er bäst?

Utforska de avgörande skillnaderna mellan anpassade och standardiserade affärssystem och...

Denna webbplats använder cookies

Cookies ("kakor") består av små textfiler. Dessa innehåller data som lagras på din enhet. För att kunna placera vissa typer av cookies behöver vi inhämta ditt samtycke. Vi på , orgnr. använder oss av följande slags cookies. För att läsa mer om vilka cookies vi använder och lagringstid, klicka här för att komma till vår cookiepolicy.

Hantera dina cookieinställningar

Nödvändiga cookies

Nödvändiga cookies är cookies som måste placeras för att grundläggande funktioner på webbplatsen ska kunna fungera. Grundläggande funktioner är exempelvis cookies som behövs för att du ska kunna använda menyer och navigera på sajten.

Funktionella cookies

Funktionella cookies behöver placeras för att webbplatsen ska kunna prestera som du förväntar dig, exempelvis så att den känner av vilket språk som du föredrar, för att känna av om du är inloggad, för att hålla webbplatsen säker, komma ihåg inloggningsuppgifter eller för att kunna sortera produkter på webbplatsen utefter dina preferenser.

Cookies för statistik

För att kunna veta hur du interagerar med webbplatsen placerar vi cookies för att föra statistik. Dessa cookies anonymiserar personuppgifter.

Cookies för personlig anpassning

För att ge dig en bättre upplevelse placerar vi cookies för dina preferenser

Cookies för annonsmätning

För att kunna erbjuda bättre service och upplevelse placerar vi cookies för att kunna anpassa marknadsföring till dig. Ett annat syfte med denna behandling är att kunna marknadsföra produkter eller tjänster till dig, ge anpassade erbjudanden eller marknadsföra och ge rekommendationer kring nya koncept utifrån vad du har köpt tidigare.

Cookies för personlig annonsmätning

För att kunna visa relevant reklam placerar vi cookies för att anpassa innehållet för dig

Cookies för anpassade annonser

För att visa relevanta och personliga annonser placerar vi cookies för att tillhandahålla unika erbjudanden som är skräddarsydda efter din användardata