Den 25 Maj har passerat och vi har sett en marknad som har känt sig väldigt pressad.
Men hur vet man om ett system behöver uppdateras? Hur identifierats brister utifrån GDPR?
Det är inte lätt att sätta sig in i alla detaljer kring GDPR. Förordningen i sig är hundra sidor lång och det krävs ytterligare kunskaper inom Inbyggt Dataskydd och Konsekvensbedömning Avseende Dataskydd (mer kända enligt de engelska termerna Privacy by Design och Privacy Impact Assesment) för att applicera vissa krav. Detta för med sig ytterligare hundrafemtio sidor för att introduceras till dessa områden. Utöver detta har Dataskyddsutredningen som den svenska regeringen startade 2016 nu färdigställts och en femhundra sidor lång rapport som kompletterar GDPR med focus på den svenska situationen finns nu tillgänglig för allmänheten. Detta är bara en första undersökning, de officiella uppdateringarna utav svensk lag är inte genomförda men kan förväntas vara av samma storleksordning. Allt som allt är det tusentals sidor av information som måste utforskas innan alla aspekter av den komplexa situationen kan erkännas begripna.
Jag spenderade närmare ett halvår med att utforska detta område inför den 25e maj och tänker här dela med mig av vad jag tror är de viktigaste aspekterna för ett företag som hanterar personuppgifter.
Det ställs många krav i GDPR men det finns framför allt två aspekter som står i centrum och om de hanteras korrekt faller det mesta på plats. Det är minimering av persondata och kommunikation med kunden.
Innan dessa två kan diskuteras måste dock termen persondata definieras lite bättre. Den beskrivning som ofta dyker upp I GDPR sammanhang är: ”Data som beskriver eller på något sätt kan koppas till en person”. Vilket är en mycket bred beskrivning. Personligen anser jag att det är onödigt att ta risker i detta område. Om det råder osäkerhet huruvida en datapunkt som hanteras är persondata eller ej, betrakta det som persondata för säkerhetens skull. Definitionerna är inte satta i sten och det är fullt möjligt att termen utvidgas i framtiden, då kommer proaktiv systemdesign i nuläget vara mycket lönsamt.
Minimering av persondata innehåller flera steg. Det viktiga är att alltid fråga sig själv för varje datapunkt, ”Kräver systemet denna information för en viss funktion?” och ”Är denna funktion en kritisk aspekt av systemet eller kan den frånvaras?”. Detta gör sig enklast tidigt i ett systems designprocess, men kan självklart genomföras på ett system som redan är i bruk. Det lättaste sättet jag funnit är att kartlägga persondatas väg genom systemet på ett sätt som liknar klassdiagram. På så sätt ges en bra överblick onödiga persondata kan identifieras.
Men data minimering är mer än så. Det handlar inte bara om att samla så lite data som möjligt, utan även att använda den uppsamlade informationen så sparsamt som möjligt. Endas personer, processer och andra system som absolut måste ha tillgång till persondata får ha det, och även då endast till de datapunkter som är relevanta för dem.
Tidsperioden är också viktig. Persondata som inte längre används måste genast tas bort om personen i fråga inte beviljat arkivering av sin data. För att tackla just denna situation rekommenderas att tidstämpla data vid insamling och ge varje datapunkt en levnadstid. Sedan kan en automatisk process undersöka databasen under natten och radera data som in längre används, eller uppdatera levnadstiden ifall informationen fortfarande är i bruk.
Den andra viktiga aspekten är att hålla en god kontakt med sina kunder. GDPR ger privatpersoner ytterligare makt över sin persondata. Kunden kan kräva både kopior av all data rörande dem samt insyn i hur deras data behandlas. Det omtalade ”Right to be forgotten” som säger att kunden kan kräva att deras data tas bort från samtliga system är också tillgänglig. Dessa nya rättigheter gör kartläggning av persondata till en mycket viktig aspekt då en specifik kunds data måste kunna kopieras eller raderas på kort varsel. En vanlig fälla är att persondata finns duplicerad på flera sällen i ett system, vilket kan göra dessa operationen komplexa att genomföra.
Dessa krav borde betraktas som kritiska användarfunktioner som ska finnas tillgängliga i systemet. Även om det enda kravet för tillfället är att kunden ska kunna utöva dessa rättigheter på något sätt är automatisering av dessa verktyg fortfarande att rekommendera. Om kunden behöver ringa en representant hos företaget som ska göra detta för hand varje gång kan det snabbt bli icke hanterbart.
