GDPR: Mina slutsatser

I mina första tre artiklar om GDPR gick jag in på infrastruktur- och programvaruverksamhet, och gav en massa information om GDPR och vad det innebär efter utrullningen i maj. Jag har fått mycket återkoppling i olika former inför dessa artiklar, varav det mesta handlar om hur du personligen, som kund, känner irritation inför de registeransvarigas ansvarighet. Utifrån återkopplingen drar jag slutsatsen att det inte är många som är beredda att fundera över hur de kan efterleva kraven i sin egen verksamhet, då det ofta betraktas som någon annans jobb.

Jag anser att det berör oss alla.

GDPR inom konsultbranschen

Som ICT-konsult är det lätt för mig att bossa över människor. Man kan lätt skrämma dem som sitter på andra sidan bordet och få dem att känna att man inte kan göra någonting i en viss situation. Genom skrämseltaktik kan vi skicka hem alla. Som jag nämnde i min första artikel är det många användare som redan känner så.

Jag säger att som en bra konsult bör du hjälpa kunden att uppfylla GDPR till fullo. Det är fullt möjligt att göra det i små steg. Som konsult är det din skyldighet gentemot kunderna att börja förbereda dem.

När du har tid kan du ta en titt på skärmdumparna i slutet av artikeln. Det är synd att verktyget inte har någon mening om du inte vet hur du ska använda det. Det är därför vi är här för att hjälpa dig. Det är därför vi hjälper dig att samla in material längs vägen.

När du en gång har det material, de verktyg och det självförtroende som behövs kan du navigera i GDPR på egen hand. Oroa dig inte om du känner dig överväldigad, vi finns här för att ge dig stöd.

GDPR:s kommersiella sida

Prog-It har gjort ett 4 dagars konsultpaket för små och medelstora kunder. 4-dagarsprogrammet är indelat på följande sätt:

  • Dag 1: Inledning och dokumentation av affärsmodell. Skapa en sekretesskarta.
  • Dag 2: Infrastruktur – Inventering av programvara, system och maskinvara. Resultat, inventeringsdokument.
  • Dag 3: Programvara – Databaser och användare. Integrering av systemkarta. Resultat, inventeringsdokument.
  • Dag 4: Slutsatser, rapport och förslag på förbättringar. Vi fortsätter med utvecklingsmodellen som ska följas i sekretesskartan. Skiljelinjen mellan åtgärdspunkter för den tekniska personalen och företagsintern användning. Eventuellt ett 2–3 timmar långt informationstillfälle för personalen för att visa resultaten och hålla en PowerPoint-presentation.
    Priset för detta är 1 000 euro per dag (exkl. moms), vilket är överkomligt oavsett storlek på företag.

Hur går jag vidare?

Börja med referensfrågorna. Ta följande i beaktande innan du tar itu med sekretesskartan:

Vad är sekretesskartan? På andra språk: Sekretesskarta i Sverige och Privacy Map på engelska.
Om du börjar från scratch och inte har någonting bör du börja med datakällor eller databaser.
Övergå sedan till ”System.” Det innebär ”smarta system” som är ”designade” och innehåller ”data,” inte bara Excel. Det betraktas som ett verktyg, och verktyg behöver vi inte ta upp här.

Övergå sedan till Dold information. Målet med Dold information är att minimera just det… Se sammanfattningen. Definition av Dold information = vet ledningen var och vad?
Externa källor är vanligtvis något som registeransvarige inte samlar in, utan använder. Hanteringen sker på annat håll.
Sedan finns det något som kallas för ”Bin” där du har ”Systemet.” Observera att termerna måste vara desamma i alla system och hos varje behörighet.

Vad gör BINs?

BINs länkar till varandra och fungerar som en koppling till en datakälla eller databas. BIN på termlogisk nivå hänvisar till BINs på teknisk nivå, men är beroende av olika tekniska element.

Nu när du har angett BIN hävdar GDPR-praxisen att policyn måste fastställas från början. Exempelvis: en teknisk policy kräver åtkomstkontroll. BINs skapar därför en logisk länk till varandra.

Det är värt att ta sig an detta från en visuell nivå från början. EDPS eller Europeiska datatillsynsmannen rekommenderar att du ritar en bild av de särskilda relationerna i ditt system, vilket ger dig en djupgående förståelse.

GDPR, rätten att glömmas bort

Denna GDPR-funktion måste läggas till aktivt för sekretesskartan. Du undrar förmodligen hur du gör det. Exempelvis: godkännande av dataregisteransvarig för att hantera data, vad gör jag? Vad händer om jag häver godkännandet? Det är väldigt svårt att automatisera systemet.

Mitt förslag: Göra en portal där både den registeransvarige och den som samlar in data kan hantera dessa data.

Ett annat förslag: Gör en biblioteksmall som du kan importera system i med hänsyn till återförsäljaren och tillverkaren. Om företaget X levererar programvaran Y kan de skapa en mall för XY som kunder kan använda i sekretesskartan.

När allt detta är klart är du redo att beställa! Vill du veta mer? Kommentera nedan så ringer jag upp dig.

Titta på skärmdumparna nedan. Jag vill personligen tacka alla som har varit med på denna GDPR-resa och orkat läsa alla mina artiklar. Till alla GDPR-riddare där ute vill jag bara säga att ni ligger i framkant. Det här är extremt viktig information som måste delas och smältas innan GDPR släpps. Fundera över om du inte ska vara med i en mästarklass genom att delta i en av våra klasser i framtiden. Vem vill inte vara en GDPR-mästare?

Tack för att du har läst detta. Håll utkik efter fler uppdateringar och information.