Webinar tre av tre – Smart funktionalitet som gör det lättare att uppfylla kraven i dataskyddsförordningen

Johan JohannessonBlog, GDPR, Webinar

Snart träder den nya dataskyddsförordningen i kraft. Vi har funderat på inom vilka områden där vi kan hjälpa våra kunder att underlätta arbetet med att uppfylla dataförordningens krav. I vårt tredje och sista webinar med fokus på den nya dataskyddsförordningen tittade vi på den funktionalitet vi planerar ta fram för att göra det enklare att arbeta i enlighet med datainspektionens krav.

Som utgångspunkt för webinaret utgick vi från artikel 25 i dataskyddsförordningen där man pratar om “Privacy by design”, dvs att de IT-system man använder ska ha dataskydd som standard. Detta innebär att man som personuppgiftsansvarig måste genomföra lämpliga tekniska och organisatoriska åtgärder så att kraven i förordningen uppfylls och den registrerades rättigheter skyddas. Som personuppgiftsansvarig ska man också genomföra tekniska och organisatoriska åtgärder så att endast personuppgifter som är nödvändiga för varje specifikt ändamål behandlas.

Alla datasystem måste ha inbyggt dataskydd som standard

I praktiken innebär detta att det IT-stöd som används bör vara anpassade för att underlätta i arbetet med personer och personuppgifter. Vi har identifierat sju områden där vi ser att vi skulle kunna hjälpa till att göra arbetet enklare genom smart funktionalitet i våra system.

  1. Kategorisering av personer och dokumentation av laglig grund för behandling.  Hur sorterar och kategoriserar man personerna i sitt CRM-system. För att få registrera personuppgifter måste det finnas en laglig grund och det är viktigt att dokumentera vilken laglig grund man använder för varje person.
  2. Samla in och logga samtycke. Samtycke är en av de lagliga grunderna. Det är viktigt att man som personuppgiftsansvarig kan logga vilka samtycken som har getts till vilka tillfällen eftersom det kommer att finnas flera olika samtycken vid olika situationer. Det är också viktigt att det går att logga om en person drar tillbaka sitt samtycke.
  3. Rättigheter och åtkomst. Ett stort CRM-system kan ha många interna användare med olika arbetsuppgifter. Eftersom man bara får arbeta med de personer och de personuppgifter som man har laglig grund för och för det syfte som de insamlats är det viktigt att man i ett system kunna reglera vilka interna användare som får tillgång till vilken persondata.
  4. Inhämta och respektera kommunikationspreferenser. Enligt förslaget ska icke begärd elektronisk kommunikation (spam) förbjudas om inte mottagaren gett sitt samtycke. Det är därför viktigt att i ett system kunna sätta upp regler för se till att personer som inte vill ha e-post inte heller får det. Utöver generella regler för kommunikation är det såklart också bra om det finns möjlighet att sätta upp specifika regler där personen själv anger exakt hur den vill kommunicera och inom vilka områden.
  5. Informera den registrerade vilka personuppgifter som behandlas. En person ska enkelt kunna ta reda på vilka personuppgifter som behandlas och få tillgång till dessa samt få veta ändamålet med behandlingen.
  6. Integration med andra datakällor. Personuppgifter måste vara korrekta och uppdaterade. Ett bra sätt att upprätthålla detta är att integrera med andra datakällor som exempelvis LADOK, Oodi eller LinkedIn. Fördelen med att arbeta i ett CRM-system jämfört med att ta ut data från dessa datakällor är att i ett CRM-system är det mycket enklare att hantera exempelvis kommunikationspreferenser.
  7. Gallringsrutiner: manuella och automatiska. En person har rätt att få sina uppgifter raderade om inte uppgifterna är nödvändiga för det ändamål de samlades in eller om man använder den lagliga grunden “samtycke” och personen drar tillbaka samtycket. Det är därför viktigt att det finns möjlighet att systematiskt kunna gallra bort personuppgifter i ditt CRM-system.

Det är viktigt att enkelt och systematiskt kunna gallra bort uppgifter på personer

I webinaret gick vi igenom dessa sju kategorier och de verktyg vi arbetar på eller redan tagit fram. Några exempel på funktionalitet vi arbetar på är automatiserade gallringsrutiner på personer, smart kategorisering av personer med automatisk loggning av den lagliga grund som används för behandling och hur vi planerar använda kontaktnoteringar för att logga samtycke för personer. Om du är nyfiken på hur vi resonerar så spelade vi in webinaret och har lagt upp det på vår Youtube-kanal och på denna bloggsida, så om du missade det i onsdags kan du se hela webinaret i klippet nedan.

Vill du veta mer om dataskyddsförordningen så kan vi även erbjuda konsulttjänster inom området. Hör av dig till antingen Johan Johannesson (johan.johannesson@mira.se) eller Magnus Bratt (magnus.bratt@mira.se) för att höra mer om vad vi kan hjälpa till med. Vi har också tagit fram tre dokument och mallar i samverkan med våra kunder för att underlätta arbetet med nya dataskyddsförordningen. Dessa är:

Mall för personuppgiftsbiträdesavtal
En ny avtalsbilaga med personuppgiftsbiträdesavtal för att uppfylla de nya kraven från Dataskyddsförordningen. Vi har varit mycket med att uppfylla alla kraven enligt Dataskyddsförordningen och riktlinjer från Datainspektionen.

Åtgärdslista och förberedelser för nya dataskyddsförordningen
En checklista baserad på Datainspektionens Förberedelser för personuppgiftsansvariga, Vägledning till personuppgiftsansvariga inför den nya dataskyddsförordningen 2018 applicerad på externa relationer inom högre utbildning och kommersiell utbildning. Avsikten är att göra informationen mer lättillgänglig.

Inventering av personuppgifter vi hanterar maa dataskyddsförordningen
Ett verktyg för att inför att inventera de samverkanskategorier ni arbetar med inom Externa Relationer och sammanställa vilken behandling av personuppgifter som görs, vad som är ändamålet med den behandlingen, m.m. Tanken är sedan att mappa dessa kategorier med de person- och samverkanskategorier som finns i Mira.

Vi delar med oss av dessa utan kostnad om du är intresserad att ta del av dem. Hör bara av dig till oss så skickar vi över dem. Detta var vårt sista webinar i serien kring dataskyddsförordningen och vi vill tacka alla som deltagit. Vi hörs och ses snart i ett nytt webinar inom kort.