Hur man tar sig från start till mål i ett GDPR-projekt

Intresset för den nya Dataskyddsförordningen, ”GDPR”, är stort och många skaffar sig kunskap om lagstiftningen – men hur tar man denna kunskap vidare till att praktiskt genomföra de förändringar som behövs? Det är lätt förklarat men kanske inte lika lätt att genomföra. Framför allt är det ett tidskrävande arbete, som det är hög tid att börja med.

Processen ser i princip lika ut för alla, vare sig man är en myndighet eller privat aktör:

Inventering, eller ”storstädning”, ska göras av de system man använder i sin verksamhet, liksom av de manuella processer som handhavare gör utanför systemet. Ett exempel kan vara att man inventerar sitt CRM-system (kundsystem), där man kan se vilken typ av information som dels kan läggas in, dels vilken information som faktiskt läggs in. En process som inte sällan sker ”vid sidan av” systemet är att man kopierar ner information i ett excelark som skickas till marknadsavdelningen som ska sammanställa en lista över kunder att bjuda in till ett event. Den processen som genomförs – kopiering av uppgifter, överföring via e-post – är också behandlingar som behöver identifieras.

För att utföra detta arbetet så effektivt som möjligt, bör det göras systematiskt, och skriftligt. Målet ska vara att man får fram den information som i förlängningen i ett avslutande skede ändå måste redovisas i den dokumentation man måste ta fram för att uppfylla de krav som GDPR ställer.

Lämpligen utförs detta arbete med hjälp av systemansvariga, samt en eller flera som arbetar med systemet för att identifiera sådana processer som eventuellt pågår vid sidan av själva systemet.

I detta skede har man en möjlighet att upptäcka de fel som oftast görs av personuppgiftsansvariga – dels att man samlar in mer information än nödvändigt, dels att man sparar information längre än nödvändigt. Man kan också upptäcka att en viss manuell hantering som krävs på grund av brister i systemet identifieras, och att detta kan åtgärdas genom nya funktioner eller moduler i systemet.

Man har alltså en möjlighet storstäda i sina datasystem – det minskar företagets risk, och kan effektivisera verksamheten.

Nu har man identifierat nuläget och det är dags att fundera över vad som brister och vad som faktiskt sker i enlighet med tillämplig lagstiftning, dvs. GAP-analysen. Genom att granska den sammanställning över de behandlingar som görs i system och processer utifrån såväl ett tekniskt perspektiv (säkerhet, systemens uppbyggnad t ex) som ett juridiskt perspektiv kommer man att landa i en slutsats rörande den behandling som sker. I den mån det brister, tar man sedan fram förslag på åtgärder som måste göras och/eller åtgärder som rekommenderas för att man ska uppfylla vad lagstiftningen föreskriver. Det kan dels handla om det som kallas ”policy by design”, dvs. åtgärder som bör byggas in i de system som används, såsom möjligheter att gallra information, dels organisatoriska åtgärder (som att ombesörja behörighetsfrågor och tillgång till information).

När detta är klart har man – förhoppningsvis – en tydlig åtgärdsplan som ska sättas i verket. Man tillser att organisationen har tydligt angivna systemansvariga som även fortsättningsvis övervakar hur systemen används, man tillser att rätt personer har tillgång till rätt saker och man låter leverantörer genomföra de anpassningar som inte redan gjorts i systemen.

Slutligen tar man fram den dokumentation som lagen föreskriver, i form av register över behandlingar, rutiner och information som ska finnas i verksamheten.

I de flesta verksamheter finns väldigt många system och processer. Här är svårt att hitta genvägar. De system som inte innehåller några personuppgifter över huvud taget kan naturligtvis exkluderas. Vilka system man har i övrigt beror på verksamheten, men vanligtvis finns tre huvudgrupper; 1) system som i sig inte innehåller personuppgifter men där personal ska logga in, 2) system som innehåller en del mindre integritetskänsliga uppgifter, t ex kontakter hos leverantörer och 3) systemen med mycket information, eller känslig information (kunduppgifter, journalsystem etc).

Att det ofta är på detta sätt medför att man dels kan göra en riskbedömning och hantera projektet därefter vid tidsbrist, dels att man kan få vissa stordriftsfördelar vad avser GAP-analys och dokumentation.

Sammanfattningsvis är rådet att ta en sak i taget, beta av system och processer efter hand och om ni fastnar för att ni är osäkra på juridiken eller tekniken, så ta hjälp så ni kommer vidare. Dessa projekt kan vara tidskrävande, men är absolut inget som är omöjligt att genomföra!

Vi önskar lycka till, och finns naturligtvis till hands både före, under och efter dessa projekts genomförande med specialistkunskap inom området.

_____________________

Sara Malmgren, advokat och ansvarig för avdelningen för IT och nya teknologier
sara.malmgren@foyen.se