start_kunskapsbank_1

Kunskapsbank

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed tempus pulvinar orci nec fringilla. Nam molestie sed.

Med risk för att uppfattas som jag ätit citroner till frukost så tycker jag det är dags att någon säger till. Den 25 maj 2018 vet den initierade läsaren vad som händer, GDPR träder i kraft. Jag tycker personligen att det är ett ypperligt och lovvärt lagförslag som kommer innebära en massa fördelar för mig som privatperson och för oss alla som medborgare.

GDPR kommer innebära stora förändringar i många verksamheter och påverka många av de IT-system som finns och som skapar konkurrenskraft och värde i vårt samhälle. Om detta råder inget tvivel. Som Systemleverantör idag har jag i stort sett dagligen dialoger med kunder om hur detta kommer att påverka deras system och vilka ändringar vi kommer att behöva göra. Detta gäller inte minst Medlems- & Insamlingsorganisationer, jag upplever att vi som bransch har varit tidigt ute och öppnat denna dialog med våra kunder. Våra kunder har också försökt hitta information om vilka krav som kommer ställas på dem och hur de kan förbereda sig på bästa sätt.

Alltför ofta finner jag dock att vi hamnar i läget där vi båda tittar på varandra och frågar oss ”vad menar de egentligen?”. Med de i detta fall menar jag lagstiftande myndigheter och tillsynsmyndigheten. Beslut om införande av GDPR togs av EU-parlamentet 27 april 2016, fram tills nu finns det fortfarande avsevärt mycket fler frågor än svar om hur detta kommer att tillämpas. Låt mig ge lite bakgrund till varför detta inte är tillfredställande:

Rätt lösningar tar tid att ta fram

Införande av nya IT-lösningar kräver tid, låt mig exemplifiera med ett medelstort system och vad som krävs för förändringar i kalendertid:

  • Analys & Kravställning 3 månader
  • Utveckling & testning 3 månader
  • Tillägg & Korrigeringar 1 månad
  • Acceptanstestning 1 månad
  • Implementation & utbildning 2 månader

Summa 10 månader, räknar vi baklänges bör detta arbete påbörjas 1 juli 2017 för att hinna bli klart till införandet. Så långt inget konstigt.

Det stora problemet är dock att IT-system är per definition digitala, det vill säga, det finns inte utrymme för ”tolkningar” eller ”intresseavvägningar”, visst det går att bygga ohyggligt dynamiska system med stöd för kontinuerligt uppdaterad affärslogik, men det påverkar inte kostnaden på marginalen, tvärt om, det är oerhört kostsamt.

Om vi inte vill ruinera våra medlems- & insamlingsorganisationers IT-budgetar, genom att bygga onödig dynamik, är det av yttersta vikt att lagstiftare och tillsynsmyndighet snarast kommer ut med tydliga besked om hur lagstiftningen skall tillämpas. Låt mig ge ett exempel:

Exempel på GDPR-frågor

Hantering av personuppgift för en medlemsorganisation som vill börja med insamling, betänk följande mail:

Hej Åsa Andersson!

Tack för att du är medlem hos oss, vi genomför just nu en kampanj för att samla in pengar till vår julkampanj "Stjärnan". Jag undrar om du är villig att bidra med 10 kr till den genom att swisha över den summan med koden "Stjärnan".

Vid frågor kontakta Bengt Bengtsson hos oss.

Med vänlig hälsning

/Kalle

En strikt tolkning av GDPR gör gällande att jag just har använt personuppgifter dels om en medlem och dels om en kollega. Jag har (vad jag tolkat) laglig rätt att nämna Bengt Bengtsson i ett mail till medlemmar om vi som företag fått ett samtycke från honom i samband med tex. anställningen. Men hur är det med Åsa Andersson? Om Åsa bara har ett samtycke för medlemshantering, får jag då alls skicka henne detta mail? Enligt GDPR har hon dessutom rätt att få ta del av hur hennes personuppgifter hanteras av oss och rätt att få dem ändrade, rättade eller raderade (inklusive mailet där hon nämns), hur skall detta mail hanteras?. Får jag koppla Åsas telefonnummer för att veta att just hon betalat via Swish? Hittills har jag inte fått några bra svar på om hur detta skall hanteras, om alls.

Lagens tillämpningar behöver förtydligas

För att kunna bygga system som hanterar detta (och många andra situationer) behövs det tolkningar och förtydliganden kring hur lagen kommer att tillämpas, det duger inte att invänta domstolsbeslut om X månader/år, den risken är alltför stor för våra kunder. Arbete med logik och regler i IT-system är det arbete som görs i analys & kravställningsfasen ovan. Utan svar på detta kommer systembyggande och konfigurationer att bli svåra och tidsödande att genomföra och våra kunder riskerar att inte ha anpassade system klara till den 25 maj 2018.

Således ber jag om att det finns klara förtydliganden om lagens tillämningar i god tid innan krav- & och analys-fasen påbörjas, vilket i stort sätt är nu. Om vi som bransch inte kan få detta är det ungefär som att be en bilförare att ta sig till Köpingebro på 2 timmar, men inte tala om hur långt det är, hur fort man får köra eller var det ligger, med randvillkoret att inga lagar får brytas.

Så kära myndigheter, vi lägger avsevärt tankemöda och kraft på att uppfylla era krav, hjälp oss att följa lagen genom att tala om hur den är tänkt att tillämpas.

I brist på tydlighet från myndigheterna har min kollega Jan Garefelt (OBS. med GDPR, krävs utgivningsbevis för att jag skall få nämna honom) tagit fram denna FAQ (länk) för GDPR för att underlätta så mycket vi kan för våra kunder.

Vill du veta mer om våra tankar och lösningar kring GDPR, så kommer det att hållas ett seminarium hos oss på Multisoft under vecka 10, länk till inbjudan hittar ni här.

 

Relaterade inlägg

KYC-bild
Blogg
23 november 2021

KYC-system som hjälper dig följa penningtvättslagen

KYC-system som hjälper dig följa penningtvättslagen I takt med en allt snabbare digital...
resursplanering_bild
Blogg
2 november 2021

Back to Basics med resursplanering

Back to basics med resursplanering Resursplanering är inte alltid lätt – men det behöve...

Om Multisoft

Revolutionerande low code platform

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed tempus pulvinar orci nec fringilla. Nam molestie sed enim quis volutpat. Phasellus ipsum tortor, porta id magna ac, bibendum vulputate.

Om oss

start_5050_2