Jan Karström has joined IT informa

Jan Karström valde IT informa

Med erfarenhet som managementkonsult väljer Jan Karström att fortsätta sin karriär hos oss på IT informa. Jan har bl a lång erfarenhet som projektledare och har medverkat i flertal spännande projekt på bl a IKEA; Sony Mobile och AstraZeneca.
 
Jan började hos oss 17 september och kommer under den närmsta perioden att bidra till en av våra kunders fortsatta utveckling.
 
Välkommen till oss Jan!

Jan Karström has joined IT informa

With experience as Management Consultant, Jan Karström chooses to continue his career with us at IT informa. Jan has long experience as a Project Manager, and he has participated in several exciting projects, including IKEA, Sony Mobile and AstraZeneca.
 
Jan started at IT informa September 17th, and will work together with one of our customers and their improvements.

Jan Karström
Senior Consultant
Read More...

Välkommen till oss Jan!!!

For more information, please contact Ulf Santesson, 070-321 38 29, ulf.santesson@itinforma.se

Ola Mattsson has joined IT informa

Ola Mattsson valde IT informa​

Med erfarenhet som senior systemutvecklare väljer Ola Mattsson att fortsätta sin karriär hos oss på IT informa. Ola har lång erfarenhet som fullstack-utvecklare ett flertal plattformar och har medverkat i flertal spännande projekt på bl a Tetra Pak.

Ola börjar hos oss i september och kommer under den närmsta perioden att bidra till en av våra kunders fortsatta utveckling.

Ola Mattsson has joined IT informa

With experience as Senior System Developer, Ola Mattsson chose to continue his career with us at IT informa. Ola has long experience as a full-stack developer and platforms, and he has participated in several exciting projects, including Tetra Pak.

Ola starts at IT informa in September and will work together with one of our customers and their improvements.

Ola Mattsson
Senior Consultant
Read More...

Välkommen till oss Ola!!!

For more information, please contact Ulf Santesson, 070-321 38 29, ulf.santesson@itinforma.se

Karin Bååthe has joined IT informa

Karin Bååthe valde IT informa

Med erfarenhet som projektledare valde Karin Bååthe att fortsätta sin karriär hos oss på IT informa. Karin har lång erfarenhet av projektledning och systemutveckling och kommer närmast från utvecklingsuppdrag av företagsanpassade plattformar.

Karin började hos oss i augusti och kommer under den närmsta perioden att bidra till Tetra Paks fortsatta utveckling.

Karin Bååthe has joined IT informa

With experience as Project Manager, Karin Bååthe chose to continue her career with us at IT informa. Karin has long experience of project management and system development, and she has participated in several exciting projects.

Karin started at IT informa in August and works together with the Tetra Pak Development Team.

Karin Bååthe
Project Manager
Read More...

Välkommen till oss Karin!!!

For more information, please contact Ulf Santesson, 070-321 38 29, ulf.santesson@itinforma.se

Allan Lidforsen has joined IT informa

Allan Lidforsen valde IT informa

Med erfarenhet som mycket senior projektledare väljer Allan Lidforsen att fortsätta sin karriär hos oss på IT informa. Allan har lång erfarenhet av projekt-, och programledning inom både IT-, och infrastrukturbranschen. Han kommer närmast från uppdrag på MAX IV Laboratoriet och ESS i Lund. 

Allan började hos oss i september och kommer under den närmsta perioden att bidra till IKEAs fortsatta utveckling.

Allan Lidforsen has joined IT informa

With experience as Project Manager, Allan Lidforsen chose to continue his career with us at IT informa. Allan has long experience from project-, and program management within IT-, and infrastructure. His latest assignments has been with MAX IV Laboratory and ESS in Lund.

Allan started at IT informa in September and works together with IKEA and their improvements.

Allan Lidforsen
Project Manager

Välkommen till oss Allan!!!

For more information, please contact Ulf Santesson, 070-321 38 29, ulf.santesson@itinforma.se

Att genomföra ett GDPR-projekt med full kontroll

Att genomföra ett GDPR-projekt med full kontroll

På IT informa har vi genomfört ett flertal projekt där regulatoriska krav är styrande. Det kan vara regulatoriska krav som PUL, Patientdatalagar i olika länder, etc., och nu även Dataskyddsförordningen (GDPR). Gemensamt för dessa projekt är att vi arbetar med en fungerande metod och verktyg för att säkerställa att vi når upp till rätt compliance-nivå, men även att vi bibehåller den under livscykeln.

Genomföra ett GDPR-projekt

Det finns vissa givna faser i ett projekt. Dessa faser går ut på att dokumentera befintligt nuläge samt vilket resultat vi vill uppnå. Därefter genomför vi de förändringar som behövs. När vi har nått det önskade resultatet sker förändringar hela tiden i verksamheten och i omvärlden som ställer krav på att lösningen anpassas till nya förutsättningar, en förvaltning av det önskade resultatet.

Förstudie

I förstudien är det viktigt att samla in och sammanställa så mycket information som möjligt kring den nuvarande compliance-nivån. Detta blir då den plattform vi utgår ifrån när vi senare beslutar om vilka steg som behöver utföras för att nå önskat resultat.

Vi tittar på flera organisatoriska faktorer, roller, processer och dokumentation som finns. Allt utifrån ett GDPR-perspektiv. Efterlever vi redan PUL idag och/eller t ex ISO 27000 har vi en kortare resa att genomföra. Vi kartlägger de dataflöden som finns för att identifiera vad som är persondata och hur den flödar genom processerna. Riskanalyser (PIA och DPIA) utifrån analyserna genomförs. När detta och mycket mer är genomfört finns det en plattform att utgå ifrån.

Som en av de sista aktiviteterna i förstudien tolkas artiklarna/lagen utifrån hur vi som organisation uppfattar att den berör oss. Vi identifierar vilka krav som ställs, men även vilka delar av GDPR som inte berör oss. Dessa tolkningar dokumenteras ned i ett verktyg, Cockpit GDPR, som ger oss en överblick och kontroll hur vi t ex beslutade kring en viss tolkning när vi utsätts för en audit/review.

När tolkningarna är genomförda kan vi enkelt samköra dessa mot det nuläge som vi har dokumenterat. Deltat blir då det som måste genomföras för att nå önskat läge, dvs ett antal aktiviteter. Dessa prioriteras och planeras in i en plan tillsammans med resurser och budget. Därefter har vi ett bra underlag att påbörja implementationen.

Samuel Persson

Senior Consultant
Samuel has worked as a consultant for 30 years in a variety of industries and business areas.

His professional network and his thorough knowledge are the basis for the several executive and board members roles he held.

Implementation

Implementationen kan med fördel delas upp i två faser beroende på verksamhetens art. Den första delen är att säkerställa att man når en beslutad nivå för att kunna fortsätta i samverkan med andra parter, t ex kunders eller leverantörers GDPPR-projekt. T ex om man är ett mjukvarubolag kan det finnas ett värde av att samköra vissa delar tillsammans eller parallellt med sina kunder.

Aktiviteter som genomförs dokumenteras hela tiden i Cockpit GDPR så att en spårbarhet finns mellan lagtexterna, tolkningarna och vad som har gjorts för att nå önskat resultat. Det ger oss en dokumentation och kontroll över vad som är gjort och vad som finns kvar att göra, tillsammans med estimat, relationer, etc. Vid en audit/review är det viktigt att kunna påvisa vilka tolkningar vi har gjort och vad som har genomförts för att nå dessa tolkningar. Är vi inte färdiga med implementationen är det en styrka att ha visa på vad som är gjort samt vad som är kvar samt när det beräknas vara klart. Därmed har vi redan smygstartat förvaltningen av vår GDPR compliance-nivå.

Förvaltning

Det räcker inte med att köra ett implementationsprojekt och nå GDPR compliance-nivå. Den måste bibehållas. Omvärlden förändras, likaså vår egen verksamhet och de tjänster/produkter vi levererar. Vid något tillfälle kommer det att finnas prejudikat som befäster en viss tolkning. Denna måste givetvis stämmas av mot vår tolkning och vår lösning. Då är det skönt att snabbt identifiera vilka delar av vår compliance-lösning det slår mot. Här hjälper Cockpit GDPR oss att ha kontroll.

Med viss periodicitet behöver vi utföra vissa uppgifter, t ex utbildning, uppdatera/verifiera dokumentation, kravställa nya system utifrån GDPR-perspektivet, etc. Cockpit GDPR hjälper oss att samla rutiner, dokumentation, aktiviteter, etc. samt påminna oss när det är dags att genomföra dessa.

Cockpit GDPR

Cockpit GDPR är ett verktyg som har varit ett bra stöd för oss när vi har hjälpt olika organisationer att genomföra projekt där kravställningar har bl a baserats på regulatoriska krav. Verktyget har därefter varit det verksamhetssystem som förvaltningen såväl som compliance-avdelningen ser som ett av sina viktigaste verktyg.

GDPR består idag av ett antal artiklar som den 25 maj 2018 kommer att övergå i lagtext i någon form. Utöver det finns det även beaktanden, utredningar, mm. Och när lagen väl har trätt i kraft kommer det så småningom även att finnas prejudikat. Allt detta finns i Cockpit GDPR från start.

Lag- och Artikeldatabas

Bild 1 visar innehållet av artikel 7, Villkor för samtycke i GDPR. Förutom texten finns även länkar till relaterade artiklar, beaktande och när så sker, även prejudikat. Dessa länkar är klickbara och användaren kan enkelt navigerar sig mellan dessa.

Bild 1. Artikel 7, Villkor för samtycke i Cockpit GDPR

Förutom innehållet finns det möjlighet att sätta metadata på varje artikel, tolkning och aktivitet. Out-of-the-box finns ett antal metadata fält, men även egna fält kan skapas utan programmeringsbehov. Fälten kan användas för att filtrera och skära innehållet i Cockpit GDPR på annan ledd. På så sätt kan vi ”zooma” in på t ex det området vi fokuserar på just nu.

Tolkningar och krav

Bild 2 visar en tolkning av Artikel 7 för en verksamhet. Detta är den dokumentation som görs i samband med t ex förstudien, hur vi som verksamhet har valt att förhålla oss till lagtexten. Att kunna påvisa våra beslut, samt vilka aktiviteter som genomförs för att nå denna nivå anser vi är extremt viktigt vid en eventuell audit. Detta signalerar och visar på att vi har kontroll.

Bild 2. Exempeltolkning i Cockpit GDPR

I Cockpit GDPR finns det några generella tolkningar, men vi anser att det är viktigt att den egna verksamhetens tolkningar måste genomsyra arbetet.

När tolkningen är gjord, beslutad samt dokumenterad är det möjligt att identifiera vilka aktiviteter som krävs för att nå det önskade resultatet. Dessa aktiviteter delas upp i två huvudgrupper, implementations- och förvaltningsaktiviteter.

 

Aktiviteter

I bild 3 nedan visas en samlingsaktivitet för de implementationsaktiviteter som är identifierade för tolkningen i Bild 2. För respektive implementationsaktivitet finns arbetsuppgiften beskriven. Den kan tilldelas en resurs, estimeras, etc. På själva aktiviteten kan tidrapportering ske och aggregeras upp till flera olika nivåer för att tydligt och enkelt presenteras i t ex en dashboard.

Bild 3. Implementationskativiteter i Cockpit GDPR

Cockpit GDPR – Vårt stöd i arbeteT

I vårt GDPR arbete ute hos kund använder vi med fördel Cockpit GDPR. Det är vårt verktyg för att dokumentera nuläget, tolkningarna samt aktiviteterna under förstudien.

Under implementationen använder vi cockpit för att dels uppdatera status, använd tid, delegering, m.m. på implementationsaktiviteter, men även för att snabbt hitta samband, uppdatera förändringar i tolkningar, etc.

I förvaltningsläget använder vi Cockpit GDPR för att ge oss stöd och påminnelse i de periodiska aktiviteterna som sker regelbundet framöver. Men det är också ett stöd när vi ska ta fram och implementera nya tjänster och produkter.

Och fram för allt, det är vårt stöd i audit/review tillfällen. Att snabbt kunna påvisa kontroll, struktur och fakta gör arbetet mycket enklare.

Hela tiden kan vi ta ögonblicksbilder som kan exporteras ut i ett antal olika format för vidare bearbetning. Till aktiviteterna skapar vi ett workflow så att en aktivitet enkelt kan dirigeras genom verksamheten beroende på status, tillhörighet, etc.

Det finns mycket mer att visa i Cockpit GDPR kring hur vi kan skapa och öka kontrollen över vår GDPR implementation och förvaltning.

Är du också nyfiken på hur du kan dra nytta av ett verktyg som vi har funnit mycket användbart, tveka inte att ta kontakt med oss.

GDPR

General Data Protection Regulation, GDPR, är en ny dataskyddsförordning som kommer att gälla inom EU från 25 maj 2018. Målsättningen med regelverket är att skyddet av den personliga integriteten ska stärkas så att denna grundläggande rättighet är i balans med andra grundläggande rättigheter och legitima samhällsintressen. Utöver den kommer även en ny dataskyddslag, som är svenska kompletteringar till GDPR.  

GDPR och registerutdrag, blir det en skillnad mot idag?

GDPR och registerutdrag, blir det en skillnad mot idag?

Idag är det ett fåtal individer som begär ett utdrag från våra register. Förmodligen bara en bråkdel av promille av den totala mängd personuppgifter som vi hanterar. Men vad kommer att hända när den nya lagstiftningen har trätt i kraft? Kommer antalet förfrågningar att öka? I så fall, i vilken omfattning? Hur kan man hantera detta rationellt? Detta är många av frågeställningarna som flera av våra kunder ställer sig i samband med att den nya Dataskyddsförordningen kommer att gälla

Kravanspråk

I artikel 82.1 kan vi läsa följande:

”Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.”

Den enskilda personen har i och med detta möjlighet att driva kravanspråk mot ditt företag om behandlingen av dess personuppgifter inte har skett i enlighet med Dataskyddsförordningen. Kommer detta vara en drivkraft? Kommer vissa individer att sätta detta i system? Kommer det skapas tjänster på marknaden som ger individen stöd i att driva frågan mot företaget som bryter mot dataförordningen? Med all säkerhet, men det är svårt att i dag uppskatta omfattningen.

Men för att komma dit måste en incident ha skett eller att personen kan visa på att Dataskyddsförordningen inte efterlevs. Ett verktyg för det senare är att kräva registerutdrag från företagets register och hitta de ställen där dessa bryter mot t ex det insamlade samtycket.

Hur länge dröjer det innan det finns automatiserade tjänster som kommer att utföra detta på uppdrag av personen? Idag finns t ex automatiserade tjänster för att kräva ersättningar vid t ex flygförseningar. Vi tror därför att förfrågan på registerutdrag kommer att öka i jämförelse mot idag.

Nya Effektiva processer

Artikel 12.3 tar upp hur snabbt vi ska reagera:

“Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt artiklarna 15–22.”

Samuel Persson

Senior Consultant
Samuel has worked as a consultant for 30 years in a variety of industries and business areas.

His professional network and his thorough knowledge are the basis for the several executive and board members roles he held.

Artiklarna 15-22 tar upp personens rättigheter mot ditt företag, bl. a. rätten att bli informerad (registerutdrag), men även t ex rätt till rättelse, eller att bli bortglömd, etc. Så var även förberedd på att dessa anspråk kommer samt hur lagstiftningen kommer att se ut.

Vi tror därför att det är viktigt att företaget är beredda på en ökning av förfrågan på registerutdrag, men även att de har bra mallar och en eller flera effektiva processer för att hantera detta.

GDPR

General Data Protection Regulation, GDPR, är en ny dataskyddsförordning som kommer att gälla inom EU från 25 maj 2018. Målsättningen med regelverket är att skyddet av den personliga integriteten ska stärkas så att denna grundläggande rättighet är i balans med andra grundläggande rättigheter och legitima samhällsintressen. Utöver den kommer även en ny dataskyddslag, som är svenska kompletteringar till GDPR.  

Klas Ehnrot has joined IT informa

Klas Ehnrot valde IT informa

Med erfarenhet som System Developer valde Klas Ehnrot att fortsätta sin karriär hos oss på IT informa. Klas har lång erfarenhet inom mobil utveckling samt Java/JEE och medverkat i ett flertal spännande projekt på bl a Tetra Pak.

 Klas började hos oss den 1 maj och kommer under den närmsta perioden att bidra till Tetra Paks fortsatta utveckling.

Klas Ehnrot has joined IT informa

With experience as System Developer, Klas Ehnrot chose to continue his career with us at IT informa. Klas has long experience in mobile development and Java/JEE, and he has participated in several exciting projects, including Tetra Pak.

Klas started at IT informa May 1st and works together with the Tetra Pak Development Team.

Klas Ehnrot
Senior System Developer
Read More...

Välkommen till oss Klas!!!

For more information, please contact Ulf Santesson, 070-321 38 29, ulf.santesson@itinforma.se

Wilhelm Ericsson has joined IT informa

Wilhelm Ericsson valde IT informa

Med erfarenhet som System Developer valde Wilhelm Ericsson att fortsätta sin karriär hos oss på IT informa. Wilhelm har en gedigen bakgrund inom ett flertal spännande projekt på bl a StruSoft och CGI. 

Wilhelm började hos oss den 15 mars och kommer under den närmsta perioden att bidra till Diaverums fortsatta utveckling.

Wilhelm Ericsson has joined IT informa

With experience as a System Developer,   Wilhelm Ericsson decided to join us at IT informa. Wilhelm has a solid background within e.g StruSoft and CGI.

Wilhelm started at IT informa March 15 and  works together with the Diaverum Service Team.

Wilhelm Ericsson
System Developer
Read More...

Välkommen till oss Wilhelm!!!

For more information, please contact Ulf Santesson, 070-321 38 29, ulf.santesson@itinforma.se

Our approach on regulatory requirements

How health- and biotech related experience of regulatory requirements can be applied on other industries

Being a consultant company, we often run into questions related to the Patient Data Act (PDA), General Data Protection Regulation (GDPR) or other regulatory requirements and principles. We have developed a method to address regulatory and other non-functional requirements.

Our company has worked with customers within health- and biotech industry for several years. One of our customers is a health provider with clinics in more than 20 countries. Because they reside in many countries, we have multiple PDA and other regulations to consider and to implement in their software, processes and organisation. But are there any differences when we working with other industries, e.g. food or finance?

Of course, there are different regulations depending on the industry. The model we address the regulatory requirements, and use them in our processes and critical software, should be similar no matter which sector we work in.

Identify the regulatory requirements

As you may know, to be compliant is not only about the software. How you work, your processes, your values, these are also parts of compliance. For this particularly customer, we collected the Patient Data Acts from all 20 countries and started to identify what requirements affected the software and what requirements affected the processes within the organisation. When we looked at the processes and the software from a holistic view, we quickly found out, many of the regulatory requirements could be treated as properties of the solution. 

So, what is the best model to handle this type of requirement?

As an example, in the financial sector there are a lot of discussions about regulatory requirements in regards to Risk Management. One well known set of requirements from ECB is called BCBS239 (RDARR). When we read through those principles it’s obvious, the requirements are high level properties on the solution.

Managing Requirements

The traditional way to analyse requirement is to break them down into sub requirements until each detailed requirement can be solved with a pretty straight forward solution. However, when we work with non-functional requirements e.g. regulatory requirements, this method could be a trap which leads us into an extremely fragmented solution where we lose our eagle eye perspective and the ability to maintain the solution.

 

Samuel Persson

Senior Consultant
Samuel has worked as a consultant for 30 years in a variety of industries and business areas.

His professional network and his thorough knowledge are the basis for the several executive and board members roles he held.

Regulatory requirement are properties of the solution

With a superior list of principles e.g. BCBS239, we think it is best to use another approach. The experience we have gained, we can address the requirements as properties of a solution. When we use this model, we will move our focus from a pile of requirements into a solution with a set of properties. When we shift focus, we will soon find it much easier to work with the requirements and make our systems and processes compliant. It’s still a lot of work to do, but our effort will be much smaller and we will gain control of the implementation process.

BCBS239 describes properties of the solution not functional requirements. We can recognise this model from other quality standards e.g. ISO9126 or ISO25010. We treat the principles in BCBS239 as properties of the same solution. The scope will be smaller and easier to manage. It will also be easier to demonstrate compliance against the principles. The illustration in this article shows how to look on the solution from different views, each view with a property as the focus point.

During the process of making a change in our system, we always return to this model to verify we are still compliant. We look at the changes through the different views of the solution, the properties. This will let us know in an early stage, if we eventually will make a change against any of the properties. Once again, using BCBS239 as an example, we should verify the change we implement is compliant with the requirements of: 

  • Principle 1 – will the change affect the Governance?
  • Principle 2 – will the change affect the IT Architecture?
  • Principle 3 – will the change interfere with the Accuracy and Integrity?
  • And so on…

When we design, and develop a solution, we work on the solutions in several layers before it is implemented. On the top layer, we design the solution on a conceptual level. The iterations will lead into a conceptual solution which can be verified against the different properties. Each layer has its own purpose, and the granularity is in more detail for each layer we pass through. At the bottom layer the solution is implemented and verified against the properties. This method helps us to secure we are compliant through the whole development process as well as the solution.

Compliant processes

A common error some companies tends to do is to only make their software compliant. It is important, but the IT architects who understands the regulatory requirements can do this easily. Compliant software doesn’t necessary make your organisation compliant and the risk to fail in an audit or review is much higher. The processes and work instructions are even more important and easy to forget. 

Conclusion

We use this model when we work with compliance and regulatory requirements. It helps us keep our focus on the requirements and the gain we receive is far beyond the effort. The model is not only applicable during an organizational change or during a development phase, but it is also applicable when the business is in normal operational state.

Our experience has shown the model is applicable cross-industry. Even if the requirements differ, the model to address them is the same.


Cecilia Persson has joined IT informa

Cecilia Persson valde IT informa

Med lång erfarenhet som senior systemutvecklare valde Cecilia Persson  att fortsätta sin karriär tillsammans med oss på IT informa. Cecilia har lång erfarenhet av systemutveckling och kommer närmast från utvecklingsuppdrag hos Verisure och Cybercom

Cecilia började hos oss i 29 februari och kommer under den närmsta perioden att bidra till Diaverums fortsatta utveckling.

Cecilia Persson has joined IT informa

With long experience as a Senior System Developer, Cecilia Persson decided to join us at IT informa. Cecilia has a solid background within e.g Verisure and Cybercom.

Cecilia started at IT informa February 29th and works together with Diaverum and their improvements.

Cecilia Persson
Senior System Developer
Read More...

Välkommen till oss Cecilia!!!

For more information, please contact Ulf Santesson, 070-321 38 29, ulf.santesson@itinforma.se