Att genomföra ett GDPR-projekt med full kontroll

Att genomföra ett GDPR-projekt med full kontroll

På IT informa har vi genomfört ett flertal projekt där regulatoriska krav är styrande. Det kan vara regulatoriska krav som PUL, Patientdatalagar i olika länder, etc., och nu även Dataskyddsförordningen (GDPR). Gemensamt för dessa projekt är att vi arbetar med en fungerande metod och verktyg för att säkerställa att vi når upp till rätt compliance-nivå, men även att vi bibehåller den under livscykeln.

Genomföra ett GDPR-projekt

Det finns vissa givna faser i ett projekt. Dessa faser går ut på att dokumentera befintligt nuläge samt vilket resultat vi vill uppnå. Därefter genomför vi de förändringar som behövs. När vi har nått det önskade resultatet sker förändringar hela tiden i verksamheten och i omvärlden som ställer krav på att lösningen anpassas till nya förutsättningar, en förvaltning av det önskade resultatet.

Förstudie

I förstudien är det viktigt att samla in och sammanställa så mycket information som möjligt kring den nuvarande compliance-nivån. Detta blir då den plattform vi utgår ifrån när vi senare beslutar om vilka steg som behöver utföras för att nå önskat resultat.

Vi tittar på flera organisatoriska faktorer, roller, processer och dokumentation som finns. Allt utifrån ett GDPR-perspektiv. Efterlever vi redan PUL idag och/eller t ex ISO 27000 har vi en kortare resa att genomföra. Vi kartlägger de dataflöden som finns för att identifiera vad som är persondata och hur den flödar genom processerna. Riskanalyser (PIA och DPIA) utifrån analyserna genomförs. När detta och mycket mer är genomfört finns det en plattform att utgå ifrån.

Som en av de sista aktiviteterna i förstudien tolkas artiklarna/lagen utifrån hur vi som organisation uppfattar att den berör oss. Vi identifierar vilka krav som ställs, men även vilka delar av GDPR som inte berör oss. Dessa tolkningar dokumenteras ned i ett verktyg, Cockpit GDPR, som ger oss en överblick och kontroll hur vi t ex beslutade kring en viss tolkning när vi utsätts för en audit/review.

När tolkningarna är genomförda kan vi enkelt samköra dessa mot det nuläge som vi har dokumenterat. Deltat blir då det som måste genomföras för att nå önskat läge, dvs ett antal aktiviteter. Dessa prioriteras och planeras in i en plan tillsammans med resurser och budget. Därefter har vi ett bra underlag att påbörja implementationen.

Samuel Persson

Senior Consultant
Samuel has worked as a consultant for 30 years in a variety of industries and business areas.

His professional network and his thorough knowledge are the basis for the several executive and board members roles he held.

Implementation

Implementationen kan med fördel delas upp i två faser beroende på verksamhetens art. Den första delen är att säkerställa att man når en beslutad nivå för att kunna fortsätta i samverkan med andra parter, t ex kunders eller leverantörers GDPPR-projekt. T ex om man är ett mjukvarubolag kan det finnas ett värde av att samköra vissa delar tillsammans eller parallellt med sina kunder.

Aktiviteter som genomförs dokumenteras hela tiden i Cockpit GDPR så att en spårbarhet finns mellan lagtexterna, tolkningarna och vad som har gjorts för att nå önskat resultat. Det ger oss en dokumentation och kontroll över vad som är gjort och vad som finns kvar att göra, tillsammans med estimat, relationer, etc. Vid en audit/review är det viktigt att kunna påvisa vilka tolkningar vi har gjort och vad som har genomförts för att nå dessa tolkningar. Är vi inte färdiga med implementationen är det en styrka att ha visa på vad som är gjort samt vad som är kvar samt när det beräknas vara klart. Därmed har vi redan smygstartat förvaltningen av vår GDPR compliance-nivå.

Förvaltning

Det räcker inte med att köra ett implementationsprojekt och nå GDPR compliance-nivå. Den måste bibehållas. Omvärlden förändras, likaså vår egen verksamhet och de tjänster/produkter vi levererar. Vid något tillfälle kommer det att finnas prejudikat som befäster en viss tolkning. Denna måste givetvis stämmas av mot vår tolkning och vår lösning. Då är det skönt att snabbt identifiera vilka delar av vår compliance-lösning det slår mot. Här hjälper Cockpit GDPR oss att ha kontroll.

Med viss periodicitet behöver vi utföra vissa uppgifter, t ex utbildning, uppdatera/verifiera dokumentation, kravställa nya system utifrån GDPR-perspektivet, etc. Cockpit GDPR hjälper oss att samla rutiner, dokumentation, aktiviteter, etc. samt påminna oss när det är dags att genomföra dessa.

Cockpit GDPR

Cockpit GDPR är ett verktyg som har varit ett bra stöd för oss när vi har hjälpt olika organisationer att genomföra projekt där kravställningar har bl a baserats på regulatoriska krav. Verktyget har därefter varit det verksamhetssystem som förvaltningen såväl som compliance-avdelningen ser som ett av sina viktigaste verktyg.

GDPR består idag av ett antal artiklar som den 25 maj 2018 kommer att övergå i lagtext i någon form. Utöver det finns det även beaktanden, utredningar, mm. Och när lagen väl har trätt i kraft kommer det så småningom även att finnas prejudikat. Allt detta finns i Cockpit GDPR från start.

Lag- och Artikeldatabas

Bild 1 visar innehållet av artikel 7, Villkor för samtycke i GDPR. Förutom texten finns även länkar till relaterade artiklar, beaktande och när så sker, även prejudikat. Dessa länkar är klickbara och användaren kan enkelt navigerar sig mellan dessa.

Bild 1. Artikel 7, Villkor för samtycke i Cockpit GDPR

Förutom innehållet finns det möjlighet att sätta metadata på varje artikel, tolkning och aktivitet. Out-of-the-box finns ett antal metadata fält, men även egna fält kan skapas utan programmeringsbehov. Fälten kan användas för att filtrera och skära innehållet i Cockpit GDPR på annan ledd. På så sätt kan vi ”zooma” in på t ex det området vi fokuserar på just nu.

Tolkningar och krav

Bild 2 visar en tolkning av Artikel 7 för en verksamhet. Detta är den dokumentation som görs i samband med t ex förstudien, hur vi som verksamhet har valt att förhålla oss till lagtexten. Att kunna påvisa våra beslut, samt vilka aktiviteter som genomförs för att nå denna nivå anser vi är extremt viktigt vid en eventuell audit. Detta signalerar och visar på att vi har kontroll.

Bild 2. Exempeltolkning i Cockpit GDPR

I Cockpit GDPR finns det några generella tolkningar, men vi anser att det är viktigt att den egna verksamhetens tolkningar måste genomsyra arbetet.

När tolkningen är gjord, beslutad samt dokumenterad är det möjligt att identifiera vilka aktiviteter som krävs för att nå det önskade resultatet. Dessa aktiviteter delas upp i två huvudgrupper, implementations- och förvaltningsaktiviteter.

 

Aktiviteter

I bild 3 nedan visas en samlingsaktivitet för de implementationsaktiviteter som är identifierade för tolkningen i Bild 2. För respektive implementationsaktivitet finns arbetsuppgiften beskriven. Den kan tilldelas en resurs, estimeras, etc. På själva aktiviteten kan tidrapportering ske och aggregeras upp till flera olika nivåer för att tydligt och enkelt presenteras i t ex en dashboard.

Bild 3. Implementationskativiteter i Cockpit GDPR

Cockpit GDPR – Vårt stöd i arbeteT

I vårt GDPR arbete ute hos kund använder vi med fördel Cockpit GDPR. Det är vårt verktyg för att dokumentera nuläget, tolkningarna samt aktiviteterna under förstudien.

Under implementationen använder vi cockpit för att dels uppdatera status, använd tid, delegering, m.m. på implementationsaktiviteter, men även för att snabbt hitta samband, uppdatera förändringar i tolkningar, etc.

I förvaltningsläget använder vi Cockpit GDPR för att ge oss stöd och påminnelse i de periodiska aktiviteterna som sker regelbundet framöver. Men det är också ett stöd när vi ska ta fram och implementera nya tjänster och produkter.

Och fram för allt, det är vårt stöd i audit/review tillfällen. Att snabbt kunna påvisa kontroll, struktur och fakta gör arbetet mycket enklare.

Hela tiden kan vi ta ögonblicksbilder som kan exporteras ut i ett antal olika format för vidare bearbetning. Till aktiviteterna skapar vi ett workflow så att en aktivitet enkelt kan dirigeras genom verksamheten beroende på status, tillhörighet, etc.

Det finns mycket mer att visa i Cockpit GDPR kring hur vi kan skapa och öka kontrollen över vår GDPR implementation och förvaltning.

Är du också nyfiken på hur du kan dra nytta av ett verktyg som vi har funnit mycket användbart, tveka inte att ta kontakt med oss.

GDPR

General Data Protection Regulation, GDPR, är en ny dataskyddsförordning som kommer att gälla inom EU från 25 maj 2018. Målsättningen med regelverket är att skyddet av den personliga integriteten ska stärkas så att denna grundläggande rättighet är i balans med andra grundläggande rättigheter och legitima samhällsintressen. Utöver den kommer även en ny dataskyddslag, som är svenska kompletteringar till GDPR.  

Business Analyst efter GDPR – uppgiftsminimering eller överinformation?

Business Analyst efter GDPR – uppgiftsminimering eller överinformation?

Erfarenheter från senaste halvårets GDPR arbete – Vissa företag har mycket kvar att göra andra har det mycket enklare. Alla känner till grundtankarna med PUL, få har kontroll på detaljinnehållet men vissa har väldigt god kontroll ändå medan andra får det att fungera mycket väl ändå. Oavsett så kommer införandet av GDPR att påverka företagen med väldigt stor sannolikhet.

Ett av de område som många företag har ”slarvat med”, är uppgiftsminimering och till vilket ändamål och syfte som informationen har samlats in. En konsekvens av detta är att det hos alla företag sparas mer information än vad som verkligen är nödvändigt för att dagens verksamhet ska rulla på.

I artikel 5.1b i Dataskyddsförordningen kan vi läsa följande:

Vid behandling av personuppgifter ska följande gälla: De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”.

Läser vi vidare under 5.1c skriver man

De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering)”.

Men alla behöver ju också tänka på morgondagen. Det är ofta här överinformationen kommer in i bilden – den används för att söka efter morgondagens affärsmöjligheter. Är det så illa att samla in information, anonymiseras till oigenkännlighet utan möjlighet att återskapa ursprunget? Syftet med GDPR är ju inte att försvåra affärsutvecklingen utan att förhindra kränkning av personlig integritet., hur stora är riskerna då?

I artikel 89.1 kan vi läsa följande:

Behandling för … statistiska ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.

Jan Wrangmark

Senior Consultant
Jan is an experienced manager with a great sense for quality. Jan has a broad knowledge of the financial sector with a strong connection to quality management, IT governance and operational risk management.

Vi kan alltså använda persondata för att hitta nya affärsmöjligheter. Men vi måste uppfylla de krav på skyddsåtgärder som beskrivs i 89.1 och vi måste ange ändamål och syfte med insamlingen. I vissa lösningar avseende säkerhet används beteende som en förstärkning av identifieringen – dvs vi samlar in hur du beter dig när du använder våra redskap inom vår domän. Fungerar det att samla in ett samtycke bestående av ospecificerade data för att söka efter framtida förbättringar och affärsmöjligheter? Som vi nämner ovan står det i Artikel 5.1b:

Vid behandling av personuppgifter ska följande gälla: De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”.

Det gäller att ha koll på sin information, dvs var den finns och hur den hanteras. Brister i detta avseende förstör möjligheten att med trovärdighet argumentera för att samla på sig någon som helst information med ett ändamål som kan härledas till ett eventuellt framtida behov.

GDPR

General Data Protection Regulation, GDPR, är en ny dataskyddsförordning som kommer att gälla inom EU från 25 maj 2018. Målsättningen med regelverket är att skyddet av den personliga integriteten ska stärkas så att denna grundläggande rättighet är i balans med andra grundläggande rättigheter och legitima samhällsintressen. Utöver den kommer även en ny dataskyddslag, som är svenska kompletteringar till GDPR.  

GDPR och registerutdrag, blir det en skillnad mot idag?

GDPR och registerutdrag, blir det en skillnad mot idag?

Idag är det ett fåtal individer som begär ett utdrag från våra register. Förmodligen bara en bråkdel av promille av den totala mängd personuppgifter som vi hanterar. Men vad kommer att hända när den nya lagstiftningen har trätt i kraft? Kommer antalet förfrågningar att öka? I så fall, i vilken omfattning? Hur kan man hantera detta rationellt? Detta är många av frågeställningarna som flera av våra kunder ställer sig i samband med att den nya Dataskyddsförordningen kommer att gälla

Kravanspråk

I artikel 82.1 kan vi läsa följande:

”Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan.”

Den enskilda personen har i och med detta möjlighet att driva kravanspråk mot ditt företag om behandlingen av dess personuppgifter inte har skett i enlighet med Dataskyddsförordningen. Kommer detta vara en drivkraft? Kommer vissa individer att sätta detta i system? Kommer det skapas tjänster på marknaden som ger individen stöd i att driva frågan mot företaget som bryter mot dataförordningen? Med all säkerhet, men det är svårt att i dag uppskatta omfattningen.

Men för att komma dit måste en incident ha skett eller att personen kan visa på att Dataskyddsförordningen inte efterlevs. Ett verktyg för det senare är att kräva registerutdrag från företagets register och hitta de ställen där dessa bryter mot t ex det insamlade samtycket.

Hur länge dröjer det innan det finns automatiserade tjänster som kommer att utföra detta på uppdrag av personen? Idag finns t ex automatiserade tjänster för att kräva ersättningar vid t ex flygförseningar. Vi tror därför att förfrågan på registerutdrag kommer att öka i jämförelse mot idag.

Nya Effektiva processer

Artikel 12.3 tar upp hur snabbt vi ska reagera:

“Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt artiklarna 15–22.”

Samuel Persson

Senior Consultant
Samuel has worked as a consultant for 30 years in a variety of industries and business areas.

His professional network and his thorough knowledge are the basis for the several executive and board members roles he held.

Artiklarna 15-22 tar upp personens rättigheter mot ditt företag, bl. a. rätten att bli informerad (registerutdrag), men även t ex rätt till rättelse, eller att bli bortglömd, etc. Så var även förberedd på att dessa anspråk kommer samt hur lagstiftningen kommer att se ut.

Vi tror därför att det är viktigt att företaget är beredda på en ökning av förfrågan på registerutdrag, men även att de har bra mallar och en eller flera effektiva processer för att hantera detta.

GDPR

General Data Protection Regulation, GDPR, är en ny dataskyddsförordning som kommer att gälla inom EU från 25 maj 2018. Målsättningen med regelverket är att skyddet av den personliga integriteten ska stärkas så att denna grundläggande rättighet är i balans med andra grundläggande rättigheter och legitima samhällsintressen. Utöver den kommer även en ny dataskyddslag, som är svenska kompletteringar till GDPR.