GDPR, General Data Protection Regulation, Dataskyddsförordninen, Har ni koll?

GDPR närmar sig med stormsteg, har ni koll?

GDPR är ett av de begrepp där vi ser ett ökande intresse från fler och fler verksamheter och organisationer, och det är inte förvånande. Tidpunkten för när förordningen börjar gälla närmar sig med stormsteg. Många i ”GDPR-branschen” har under en längre tid talat om att det börjar bli dags att komma i gång med arbetet att göra de anpassningar och insatser som krävs för att kunna uppfylla de krav som finns uppsatta i den nya förordningen.

Tittar man sig omkring och lyssnar på olika aktörer inom området, ser man att det finns många perspektiv på vad GDPR innebär och vad som måste göras för att vara GDPR-”compliant”. Samtidigt är förutsättningarna ganska olika för olika typer av verksamheter, och kraven kommer sannolikt att vara lite olika beroende på omfattningen av personuppgifter och vilken typ av personuppgifter som hanteras.

GDPR-regelverket är omfattande och kan påverka många delar i organisationen och är en ytterst viktig aspekt i arbetet med själva förberedelserna. Det är inte är helt lätt att identifiera de konkreta kraven och på vilken nivå lösningarna måste utformas för att möta dessa krav. Vad är till exempel tillräckliga och rimliga krav på att förhindra intrång och åtkomst av personuppgifterna? Befintlig hantering av extern access till IT-miljön och nuvarande uppsättning av behörighetshantering är kanske tillräcklig?

Advectas perspektiv på GDPR är framförallt fokuserat på personuppgifter som hanteras i olika typer av CPM-lösningar. För dessa lösningar finns det GDPR-aspekter som är gemensamma med andra typer av IT-lösningar men också aspekter som är specifika för lösningar inom CPM-området. Dessutom kan förutsättningarna skilja sig åt en del mellan olika typer av CPM-lösningar.

Bland GDPR-aspekter som påverkar IT-lösningar generellt kan man se till grundläggande delar som dataminimering, möjligheter att kunna ta ut och rapportera den information som finns lagrad om den registrerade, behörighetshanteringen och kraven på skydd mot intrång. Det samma gäller även hantering av incidenter och eventuella behov av dataskyddsombud.

För andra delar inom GDPR blir däremot frågeställningarna mer specifika när det gäller CPM-lösningar. Några exempel:

Rättsligt stöd – flertalet CPM-lösningar utgår ju normalt från information som kommer från verksamhetens operativa källsystem men avsikten med CPM är ju att tillföra värde, vilket då påverkar hur informationen används. När det gäller ”traditionell” BI är det tillförda värdet till exempel att bättre kunna rapportera och presentera informationen, vilket i sig då skulle kunna stödja GDPR-behoven. Gör man däremot mera genomgående analyser av personuppgifterna, då måste kanske de rättsliga grunderna utvärderas annorlunda, jämfört med hur man gjort för informationen i källsystemet. Ett exempel på sådana skillnader skulle kanske kunna vara ett tidrapporteringssystem där den rättsliga grunden i källsystemet är att uppgifterna behövs för att kunna betal rätt lön, medan då man använder uppgifterna i en BI-lösning, för att till exempel analysera medarbetarnas sjukfrånvaro, kanske den rättsliga grunden för att få hantera samma uppgifter måste bedömas annorlunda.

Tittar man sedan på lösningar där Data Science-metoder används, blir ju skillnaden ännu tydligare eftersom syftet med den typen av lösningar är att tillföra mervärde till informationen genom till exempel statistiska modeller. Per automatik olika förutsättningar för rättsligt stöd.

Integritetsrisker – här är det klart att information som hanteras i en lösning som använder till exempel prediktiv analys, kan hamna i en annan riskklass ur ett integritetsmässigt perspektiv. Man tillför ju en typ av information till personuppgifterna som troligen inte finns i det underliggande informationsmaterialet i källsystemet. Här måste då en kompletterande konsekvensanalys övervägas för hanteringen, jämfört med vad man behöver göra för det grundläggande systemet. Gör man dessutom utskick baserat på resultatet, till exempel för marknadsföring, behöver man troligen lägga till möjligheterna för den registrerade att undantas från detta.

Rätten att bli glömd – har man möjligheter att ta bort uppgifterna i källsystemet, hur hanteras det då i CPM-lösningen? Här handlar det då mera om ett tekniskt perspektiv. Då man ser till en datalager-lösning beror det på hur detta laddas, om det sker med full-laddning eller om det laddas inkrementellt. Framförallt i det senare fallet måste man ju se över hur man kan identifiera de individer som inte längre finns med i flödet från källan.

Då det gäller hantering i planning-lösningar blir det mer av en designmässig fråga i de fall man arbetar på individnivå. Här måste man säkerställa att det finns rutiner och funktioner för sökning och borttagning av individer direkt i applikationen.

Som man ganska snabbt ser när man börjar titta på de här frågorna, kan det finnas många olika delar som man behöver få klarlagda och samtidigt på ett så strukturerat sätt som möjligt. Man bör ha utrett vilka krav som kan komma att ställas och vilka åtgärder som kan bli nödvändiga. Första steget är att göra en kartläggning av de CPM-lösningar som finns inom verksamheten och börja dokumentera dessa enligt GDPR-kraven, samtidigt som man tar fram en åtgärdsplan för det förändringsarbete som blir nödvändigt med anledning av den nya förordningen.

Om du behöver stöd med detta arbete har vi på Advectas tagit fram ett ramverk för en GDPR-kartläggning inom CPM-området, och vi erbjuder detta och andra tjänster inom området. Det börjar bli dags att komma igång nu! Om du har frågor kring inlägget eller GDPR i stort får du gärna kontakta mig på hans.lindskog@advectas.se.

Hans Lindskog
hans.lindskog@advectas.se
Jag som skriver heter Hans Lindskog och arbetar som verksamhetskonsult här på Advectas. I den rollen arbetar jag både med kundernas behov och med tillhörande effektiva lösningar när det gäller både BI-och Planning. Verksamhetsmässigt spänner erfarenheterna över det mesta av organisationernas fokusområden såsom finans, försäljning, logistik, produktion och HR. Tidigare erfarenheter som applikationskonsult inom ERP-området ger också ett brett perspektiv på informationen som hanteras.

Alla inlägg av Hans Lindskog

Advectas startar schemalagda utbildningar på de främsta BI-plattformarna

Läs mer om Advectas Academy!