Samuel Persson

Att genomföra ett GDPR-projekt med full kontroll

På IT informa har vi genomfört ett flertal projekt där regulatoriska krav är styrande. Det kan vara regulatoriska krav som PUL, Patientdatalagar i olika länder, etc., och nu även Dataskyddsförordningen (GDPR). Gemensamt för dessa projekt är att vi arbetar med en fungerande metod och verktyg för att säkerställa att vi når upp till rätt compliance-nivå, men även att vi bibehåller den under livscykeln.

Genomföra ett GDPR-projekt

Det finns vissa givna faser i ett projekt. Dessa faser går ut på att dokumentera befintligt nuläge samt vilket resultat vi vill uppnå. Därefter genomför vi de förändringar som behövs. När vi har nått det önskade resultatet sker förändringar hela tiden i verksamheten och i omvärlden som ställer krav på att lösningen anpassas till nya förutsättningar, en förvaltning av det önskade resultatet.

Förstudie

I förstudien är det viktigt att samla in och sammanställa så mycket information som möjligt kring den nuvarande compliance-nivån. Detta blir då den plattform vi utgår ifrån när vi senare beslutar om vilka steg som behöver utföras för att nå önskat resultat.

Vi tittar på flera organisatoriska faktorer, roller, processer och dokumentation som finns. Allt utifrån ett GDPR-perspektiv. Efterlever vi redan PUL idag och/eller t ex ISO 27000 har vi en kortare resa att genomföra. Vi kartlägger de dataflöden som finns för att identifiera vad som är persondata och hur den flödar genom processerna. Riskanalyser (PIA och DPIA) utifrån analyserna genomförs. När detta och mycket mer är genomfört finns det en plattform att utgå ifrån.

Som en av de sista aktiviteterna i förstudien tolkas artiklarna/lagen utifrån hur vi som organisation uppfattar att den berör oss. Vi identifierar vilka krav som ställs, men även vilka delar av GDPR som inte berör oss. Dessa tolkningar dokumenteras ned i ett verktyg, Cockpit GDPR, som ger oss en överblick och kontroll hur vi t ex beslutade kring en viss tolkning när vi utsätts för en audit/review.

När tolkningarna är genomförda kan vi enkelt samköra dessa mot det nuläge som vi har dokumenterat. Deltat blir då det som måste genomföras för att nå önskat läge, dvs ett antal aktiviteter. Dessa prioriteras och planeras in i en plan tillsammans med resurser och budget. Därefter har vi ett bra underlag att påbörja implementationen.

Implementation

Implementationen kan med fördel delas upp i två faser beroende på verksamhetens art. Den första delen är att säkerställa att man når en beslutad nivå för att kunna fortsätta i samverkan med andra parter, t ex kunders eller leverantörers GDPPR-projekt. T ex om man är ett mjukvarubolag kan det finnas ett värde av att samköra vissa delar tillsammans eller parallellt med sina kunder.

Aktiviteter som genomförs dokumenteras hela tiden i Cockpit GDPR så att en spårbarhet finns mellan lagtexterna, tolkningarna och vad som har gjorts för att nå önskat resultat. Det ger oss en dokumentation och kontroll över vad som är gjort och vad som finns kvar att göra, tillsammans med estimat, relationer, etc. Vid en audit/review är det viktigt att kunna påvisa vilka tolkningar vi har gjort och vad som har genomförts för att nå dessa tolkningar. Är vi inte färdiga med implementationen är det en styrka att ha visa på vad som är gjort samt vad som är kvar samt när det beräknas vara klart. Därmed har vi redan smygstartat förvaltningen av vår GDPR compliance-nivå.

Förvaltning

Det räcker inte med att köra ett implementationsprojekt och nå GDPR compliance-nivå. Den måste bibehållas. Omvärlden förändras, likaså vår egen verksamhet och de tjänster/produkter vi levererar. Vid något tillfälle kommer det att finnas prejudikat som befäster en viss tolkning. Denna måste givetvis stämmas av mot vår tolkning och vår lösning. Då är det skönt att snabbt identifiera vilka delar av vår compliance-lösning det slår mot. Här hjälper Cockpit GDPR oss att ha kontroll.

Med viss periodicitet behöver vi utföra vissa uppgifter, t ex utbildning, uppdatera/verifiera dokumentation, kravställa nya system utifrån GDPR-perspektivet, etc. Cockpit GDPR hjälper oss att samla rutiner, dokumentation, aktiviteter, etc. samt påminna oss när det är dags att genomföra dessa.

Cockpit GDPR

Cockpit GDPR är ett verktyg som har varit ett bra stöd för oss när vi har hjälpt olika organisationer att genomföra projekt där kravställningar har bl a baserats på regulatoriska krav. Verktyget har därefter varit det verksamhetssystem som förvaltningen såväl som compliance-avdelningen ser som ett av sina viktigaste verktyg.

GDPR består idag av ett antal artiklar som den 25 maj 2018 kommer att övergå i lagtext i någon form. Utöver det finns det även beaktanden, utredningar, mm. Och när lagen väl har trätt i kraft kommer det så småningom även att finnas prejudikat. Allt detta finns i Cockpit GDPR från start.

 

Lag- och Artikeldatabas

Bild 1 visar innehållet av artikel 7, Villkor för samtycke i GDPR. Förutom texten finns även länkar till relaterade artiklar, beaktande och när så sker, även prejudikat. Dessa länkar är klickbara och användaren kan enkelt navigerar sig mellan dessa.

Bild 1. Artikel 7, Villkor för samtycke i Cockpit GDPR

Förutom innehållet finns det möjlighet att sätta metadata på varje artikel, tolkning och aktivitet. Out-of-the-box finns ett antal metadata fält, men även egna fält kan skapas utan programmeringsbehov. Fälten kan användas för att filtrera och skära innehållet i Cockpit GDPR på annan ledd. På så sätt kan vi ”zooma” in på t ex det området vi fokuserar på just nu.

 

Tolkningar och krav

Bild 2 visar en tolkning av Artikel 7 för en verksamhet. Detta är den dokumentation som görs i samband med t ex förstudien, hur vi som verksamhet har valt att förhålla oss till lagtexten. Att kunna påvisa våra beslut, samt vilka aktiviteter som genomförs för att nå denna nivå anser vi är extremt viktigt vid en eventuell audit. Detta signalerar och visar på att vi har kontroll.

Bild 2. Exempeltolkning i Cockpit GDPR

I Cockpit GDPR finns det några generella tolkningar, men vi anser att det är viktigt att den egna verksamhetens tolkningar måste genomsyra arbetet.

När tolkningen är gjord, beslutad samt dokumenterad är det möjligt att identifiera vilka aktiviteter som krävs för att nå det önskade resultatet. Dessa aktiviteter delas upp i två huvudgrupper, implementations- och förvaltningsaktiviteter.

 

Aktiviteter

I bild 3 nedan visas en samlingsaktivitet för de implementationsaktiviteter som är identifierade för tolkningen i Bild 2. För respektive implementationsaktivitet finns arbetsuppgiften beskriven. Den kan tilldelas en resurs, estimeras, etc. På själva aktiviteten kan tidrapportering ske och aggregeras upp till flera olika nivåer för att tydligt och enkelt presenteras i t ex en dashboard.

Bild 3. Implementationskativiteter i Cockpit GDPR

Cockpit GDPR - Vårt stöd i arbeteT

I vårt GDPR arbete ute hos kund använder vi med fördel Cockpit GDPR. Det är vårt verktyg för att dokumentera nuläget, tolkningarna samt aktiviteterna under förstudien.

Under implementationen använder vi cockpit för att dels uppdatera status, använd tid, delegering, m.m. på implementationsaktiviteter, men även för att snabbt hitta samband, uppdatera förändringar i tolkningar, etc.

I förvaltningsläget använder vi Cockpit GDPR för att ge oss stöd och påminnelse i de periodiska aktiviteterna som sker regelbundet framöver. Men det är också ett stöd när vi ska ta fram och implementera nya tjänster och produkter.

Och fram för allt, det är vårt stöd i audit/review tillfällen. Att snabbt kunna påvisa kontroll, struktur och fakta gör arbetet mycket enklare.

Hela tiden kan vi ta ögonblicksbilder som kan exporteras ut i ett antal olika format för vidare bearbetning. Till aktiviteterna skapar vi ett workflow så att en aktivitet enkelt kan dirigeras genom verksamheten beroende på status, tillhörighet, etc.

Det finns mycket mer att visa i Cockpit GDPR kring hur vi kan skapa och öka kontrollen över vår GDPR implementation och förvaltning.

Är du också nyfiken på hur du kan dra nytta av ett verktyg som vi har funnit mycket användbart, tveka inte att ta kontakt med oss.

GDPR

General Data Protection Regulation, GDPR, är en ny dataskyddsförordning som kommer att gälla inom EU från 25 maj 2018. Målsättningen med regelverket är att skyddet av den personliga integriteten ska stärkas så att denna grundläggande rättighet är i balans med andra grundläggande rättigheter och legitima samhällsintressen. Utöver den kommer även en ny dataskyddslag, som är svenska kompletteringar till GDPR.
 

Please feel free to share