Vårt GDPR-projekt började våren 2017 med ett webinarium där ett globalt mjukvaruföretag informerade om den kommande förändringen i EU-lagstiftningen. Talarna fick åhörarnas obestridliga uppmärksamhet genom att inleda med konstateringen, att en förbrytelse mot denna lagen skulle komma att kosta dem miljarder.
Hotet om sanktioner har sannolikt varit den främsta drivkraften bland oss som har haft med GDPR att göra, och motiverat alla att fördjupa sig i ämnet samt vidta nödvändiga åtgärder.
Utmaning: Att genomföra projektet in-house
Till en början verkade uppfyllandet av kraven nästan överväldigande. Den tillgängliga informationen var fragmenterad, den dataskyddsansvarige informerade om förordningen utan att ge konkret vägledning, och även genomläsningen av förordningen var en svår uppgift för en icke-jurist. Eftersom vi bestämde oss för att inte köpa GDPR-compliance som en tjänst – vilket dock fanns tillgängligt - var vi tvungna att börja med att utreda begreppen. Det vill säga att börja mer eller mindre från gräsrotsnivån.
Kartläggningen av situationen gav sinnesro
Då de grundläggande frågorna besvarats påbörjades en kartläggning av den egna situationen bland annat med hjälp av Excel-verktyg erhållna av partners. Det stod ganska snart klart, att det inte rörde sig om någon enorm reform, eftersom dataskyddet redan tidigare hade skötts på ett sakligt sätt. GDPR innebar närmast en genomgång av våra egna register, städning och definiering av instruktionerna. Vi gjorde oss till exempel av med ett onödigt kundhanteringssystem som innehöll föråldrade leads, så våra register kom att bestå av enbart befintliga och potentiella kundföretag och deras anställdas kontaktuppgifter. Samtidigt förnyades vårt eget HR-register och försågs med effektivare användarrättighetsbegränsningar.
Utmaning 2: Avtal
I vissa situationer fungerar vi oundvikligen som behandlare av de personuppgifter som finns i våra kunders register. Projektets största utmaning var att säkra ett avtal rörande behandling av personuppgifter som skulle vara acceptabelt för samtliga kunder. Många företag har bestämt sig för att komplettera existerande avtal med en GDPR-bilaga. På grund av CSI-programmens affärskritiska karaktär föredrog vi att göra separata avtal gällande detta. Lyckligtvis är vår kundkrets exceptionellt insatt i avtalsfrågor, och flera advokatbyråer gav vänligen sina utlåtanden inför slutförandet av avtalet.
Undertecknande av hundratals avtal inom en kort tid skulle inte ha lyckats med traditionella pappersdokument som skickas fram och tillbaka. Med hjälp av den elektroniska signaturtjänsten slutfördes de flesta avtalen redan innan GDPR trädde i kraft. Återstående avtal förväntas bli avklarade i jämn takt med att våra kunder hinner ta tag i ärendet.
Saldot
GDPR innebar mycket extra arbete, men även möjligheter och utvecklingsidéer. När det gäller mjukvaran fick vi fundera ut hur vi bäst kunde hjälpa våra kunder att uppfylla GDPR: s förpliktelser. Vår nya personuppgiftsrapport listar nu i CSI-programmet de data som lagras om personen i ett format som kan skickas antingen som en rapport eller i ett elektroniskt format. Om så önskas kan kunden även mer noggrant än tidigare följa, vem och när han eller hon har ändrat eller tittat på informationen som lagrats i programmet. GDPR-funktioner utvecklas allteftersom nya behov framkommer.
Projektet medförde välkomna förbättringar i våra interna processer. I och med övergången till elektroniska signaturer uppdaterades våra underleverantöravtal, våra verksamhetsmodeller vid olika situationer klargjordes och dokumenterades och onödiga register, som lätt skapas, eliminerades. Bra diskussioner om dataskydd och om vårt företags verksamhetssätt uppstod också i samband med personalens utbildning.
GDPR slutar inte här
GDPR är en kontinuerlig process. Men den största ansträngningen ligger bakom oss, och det kommer troligtvis bli lättare i framtiden. Produktutvecklingsidéer rörande ämnet kommer säkert att framföras såväl av våra kunder som av vårt eget team, vilket bara är positivt.
Jag välkomnar det faktum att projektet har framhävt vår beredskap att utveckla processer och eliminera onödig data. Den löpande granskningen av dataskydds-ärenden och den regelbundna utbildningen av personal som förordningen kräver, kommer med all säkerhet att hålla en alert även i fortsättningen.
ä |
Jari Loiri CSI Helsinki, teknisk konsult Livet är mer än bara teknik. Då, när tekniken underlättar människors liv, är jag dess vän. |