15 februari 2017

GDPR-tolkning, lite förtydliganden tack!

Blogg

Med risk för att uppfattas som jag ätit citroner till frukost så tycker jag det är dags att någon säger till. Den 25 maj 2018 vet den initierade läsaren vad som händer, GDPR träder i kraft. Jag tycker personligen att det är ett ypperligt och lovvärt lagförslag som kommer innebära en massa fördelar för mig som privatperson och för oss alla som medborgare.

GDPR kommer innebära stora förändringar i många verksamheter och påverka många av de IT-system som finns och som skapar konkurrenskraft och värde i vårt samhälle. Om detta råder inget tvivel. Som Systemleverantör idag har jag i stort sett dagligen dialoger med kunder om hur detta kommer att påverka deras system och vilka ändringar vi kommer att behöva göra. Detta gäller inte minst Medlems- & Insamlingsorganisationer, jag upplever att vi som bransch har varit tidigt ute och öppnat denna dialog med våra kunder. Våra kunder har också försökt hitta information om vilka krav som kommer ställas på dem och hur de kan förbereda sig på bästa sätt.

Alltför ofta finner jag dock att vi hamnar i läget där vi båda tittar på varandra och frågar oss ”vad menar de egentligen?”. Med de i detta fall menar jag lagstiftande myndigheter och tillsynsmyndigheten. Beslut om införande av GDPR togs av EU-parlamentet 27 april 2016, fram tills nu finns det fortfarande avsevärt mycket fler frågor än svar om hur detta kommer att tillämpas. Låt mig ge lite bakgrund till varför detta inte är tillfredställande:

Rätt lösningar tar tid att ta fram

Införande av nya IT-lösningar kräver tid, låt mig exemplifiera med ett medelstort system och vad som krävs för förändringar i kalendertid:

  • Analys & Kravställning 3 månader
  • Utveckling & testning 3 månader
  • Tillägg & Korrigeringar 1 månad
  • Acceptanstestning 1 månad
  • Implementation & utbildning 2 månader

Summa 10 månader, räknar vi baklänges bör detta arbete påbörjas 1 juli 2017 för att hinna bli klart till införandet. Så långt inget konstigt.

Det stora problemet är dock att IT-system är per definition digitala, det vill säga, det finns inte utrymme för ”tolkningar” eller ”intresseavvägningar”, visst det går att bygga ohyggligt dynamiska system med stöd för kontinuerligt uppdaterad affärslogik, men det påverkar inte kostnaden på marginalen, tvärt om, det är oerhört kostsamt.

Om vi inte vill ruinera våra medlems- & insamlingsorganisationers IT-budgetar, genom att bygga onödig dynamik, är det av yttersta vikt att lagstiftare och tillsynsmyndighet snarast kommer ut med tydliga besked om hur lagstiftningen skall tillämpas. Låt mig ge ett exempel:

Exempel på GDPR-frågor

Hantering av personuppgift för en medlemsorganisation som vill börja med insamling, betänk följande mail:

Hej Åsa Andersson!

Tack för att du är medlem hos oss, vi genomför just nu en kampanj för att samla in pengar till vår julkampanj "Stjärnan". Jag undrar om du är villig att bidra med 10 kr till den genom att swisha över den summan med koden "Stjärnan".

Vid frågor kontakta Bengt Bengtsson hos oss.

Med vänlig hälsning

/Kalle

En strikt tolkning av GDPR gör gällande att jag just har använt personuppgifter dels om en medlem och dels om en kollega. Jag har (vad jag tolkat) laglig rätt att nämna Bengt Bengtsson i ett mail till medlemmar om vi som företag fått ett samtycke från honom i samband med tex. anställningen. Men hur är det med Åsa Andersson? Om Åsa bara har ett samtycke för medlemshantering, får jag då alls skicka henne detta mail? Enligt GDPR har hon dessutom rätt att få ta del av hur hennes personuppgifter hanteras av oss och rätt att få dem ändrade, rättade eller raderade (inklusive mailet där hon nämns), hur skall detta mail hanteras?. Får jag koppla Åsas telefonnummer för att veta att just hon betalat via Swish? Hittills har jag inte fått några bra svar på om hur detta skall hanteras, om alls.

Lagens tillämpningar behöver förtydligas

För att kunna bygga system som hanterar detta (och många andra situationer) behövs det tolkningar och förtydliganden kring hur lagen kommer att tillämpas, det duger inte att invänta domstolsbeslut om X månader/år, den risken är alltför stor för våra kunder. Arbete med logik och regler i IT-system är det arbete som görs i analys & kravställningsfasen ovan. Utan svar på detta kommer systembyggande och konfigurationer att bli svåra och tidsödande att genomföra och våra kunder riskerar att inte ha anpassade system klara till den 25 maj 2018.

Således ber jag om att det finns klara förtydliganden om lagens tillämningar i god tid innan krav- & och analys-fasen påbörjas, vilket i stort sätt är nu. Om vi som bransch inte kan få detta är det ungefär som att be en bilförare att ta sig till Köpingebro på 2 timmar, men inte tala om hur långt det är, hur fort man får köra eller var det ligger, med randvillkoret att inga lagar får brytas.

Så kära myndigheter, vi lägger avsevärt tankemöda och kraft på att uppfylla era krav, hjälp oss att följa lagen genom att tala om hur den är tänkt att tillämpas.

I brist på tydlighet från myndigheterna har min kollega Jan Garefelt (OBS. med GDPR, krävs utgivningsbevis för att jag skall få nämna honom) tagit fram denna FAQ (länk) för GDPR för att underlätta så mycket vi kan för våra kunder.

Vill du veta mer om våra tankar och lösningar kring GDPR, så kommer det att hållas ett seminarium hos oss på Multisoft under vecka 10, länk till inbjudan hittar ni här.

 

Relaterade inlägg

Multisoft – Fotograf Mattias Hamren-108
Blogg
15 november 2023

ETL och ELT: Navigera rätt för din integrationslösning

På resan för en integrationslösning stöter du på två centrala begrepp: ETL (Extract, Tra...
En kvinna och en man pratar med en tredje person, framför laptops vid bord.
Blogg
6 november 2023

Stoppa medlemsflykten en gång för alla med anpassningsbara systemlösningar

Med hjälp av anpassningsbara systemlösningar från Multisoft, finns möjligheten att effek...

Cookies ("kakor") består av små textfiler. Dessa innehåller data som lagras på din enhet. För att kunna placera vissa typer av cookies behöver vi inhämta ditt samtycke. Vi på Multisoft AB, 556596-4011. använder oss av följande slags cookies. För att läsa mer om vilka cookies vi använder och lagringstid, klicka här för att komma till vår cookiepolicy.

Hantera dina cookieinställningar

Nödvändiga cookies

Nödvändiga cookies är cookies som måste placeras för att grundläggande funktioner på webbplatsen ska kunna fungera. Grundläggande funktioner är exempelvis cookies som behövs för att du ska kunna använda menyer och navigera på sajten.

Funktionella cookies

Funktionella cookies behöver placeras för att webbplatsen ska kunna prestera som du förväntar dig, exempelvis så att den känner av vilket språk som du föredrar, för att känna av om du är inloggad, för att hålla webbplatsen säker, komma ihåg inloggningsuppgifter eller för att kunna sortera produkter på webbplatsen utefter dina preferenser.

Cookies för statistik

För att kunna veta hur du interagerar med webbplatsen placerar vi cookies för att föra statistik. Dessa cookies anonymiserar personuppgifter.

Cookies för annonsmätning

För att kunna erbjuda bättre service och upplevelse placerar vi cookies för att kunna anpassa marknadsföring till dig. Ett annat syfte med denna behandling är att kunna marknadsföra produkter eller tjänster till dig, ge anpassade erbjudanden eller marknadsföra och ge rekommendationer kring nya koncept utifrån vad du har köpt tidigare.
Bekräfta val Acceptera alla