GDPR og applikasjonsprogramvare

Vi er klare - hva nå?

Mange er i full gang med å endre prosesser og rutiner, sikre at avtaler er skrevet og beskytte sine data. Men hva kommer etter man har gjort det som gjøres må for å bli klar til GDPR? For man må jo også sørge for å etterleve kravene over tid! Mange stiller oss spørsmål relatert til teknologi og i hvilken grad oppgaver knyttet til personvernrådgiveren kan løses gjennom teknologi og automasjon.


Vi har vurdert et 100 talls applikasjoner, og vi har en klar formening om hvilke som er bra.

Trenger vi applikasjoner?

Man trenger ikke anskaffe applikasjoner for å sikre at personvernrådgivers oppgaver løses på en måte som etterlever kravene i GDPR. Man kan faktisk velge en manuell tilnærming og det vil sikkert fungere greit - en stund.

Personvernforordningen omhandler mennesker, prosesser og teknologi, så man kan også fastslå at teknologi alene ikke løser alle utfordringer. Man er avhengig av gode prosesser og mennesker også. Men mange av oppgavene er repetitive og tidkrevende, og applikasjoner kan løse disse oppgavene raskere og mer effektivt, og dermed frigjøre tid til annet arbeid.


At man ikke anskaffe et verktøy for å etterleve kravet til GDPR, er ikke ensbetydende med at det ikke er hensiktsmessig å anskaffe et verktøy.

Et eksempel

Det fins flere eksempler på oppgaver som kan helt eller delvis løses i en applikasjon. Subject access requests (SAR) også kjent som begjæring om innsyn, endring, flytting og sletting av data, er fullt mulig å delvis løse med applikasjoner. Ja, delvis! Ser man på «retten til å bli glemt», altså slettet, så må man sikre at en slik begjæring er rettidig og at det ikke er lover som krever at man må beholde opplysningene. Et tenkt tilfelle er et individ som stiller krav om å bli slettet fra en pasientjournal. Her kommer bl.a. Helsepersonelloven og Arkivloven inn i bildet, og man må kanskje avslå et slikt krav. I slike tilfeller skal allikevel begjæringen besvares med årsak til at man motsetter seg sletting.


Etter at personvernrådgiver har gjort sine vurderinger, vil selve gjennomføring av oppgaven(e) kunne løses automatisk i en applikasjon. Automatisering av oppgavene til en personvernrådgiver sikrer kontroll, effektivitet, og løpende evne til å utføre oppgavene innenfor rammene til GDPR, samtidig som at man som regel har full automatisk loggføring av hele livssyklusen til hendelsen(e). Loggføringen bedrer evnen til å bevise/dokumentere at man følger definerte prosesser og rutiner og at man etterlever kravene i GDPR. Applikasjoner kan også raskt og enkelt gjennomføre kryptering, anonymisering/pseudonymisering, stopping av behandling, gjøre data maskinlesbart, samt fungere som sikker kommunikasjonsplattform mellom personvernrådgiver og systemeiere, databehandlere, og den registrerte.


De beste applikasjonene løser nær sagt alle oppgavene som kan automatiseres.

Det fins verktøy for alle formål!

Så hvilket verktøy passer for din bedrift? Det er selvfølgelig avhengig av hvert enkelt selskap sitt behov og det kan være avhengig en rekke parametere som; størrelsen på selskapet, mengde data som håndteres, type data man besitter og samler inn, type databehandlergrunnlag som benyttes, forventet mengde begjæringer fra individer, og mye annet.


Noen verktøy er direkte inngripende og øker risikoen

Når man vurderer verktøy skal man også være obs på at enkelte verktøy som tilbys i dag, også direkte øker risikoen forbundet med håndteringen av personlig identifiserbar informasjon. Noen verktøy kopierer informasjon fra databaser, så man skaper en ekstra datastrøm og en ny lagringsenhet for data. Om verktøyet kjører på en plattform som er "hosted" hos en tredjepart, kommer kravet om nok en data-behandleravtale. Ved å ta i bruk ny teknologi som utsetter personlig informasjon for ytterligere risiko, vil man også stå ovenfor et krav om å gjennomføre en DPIA. Enkelte har også vurdert verktøy som håndterer kun èn, eller noen få, oppgaver, og man gir seg selv unødig mange utfordringer i å administrere mange enkeltsystemer.


Felles for de av våre kunder vi har snakket med om applikasjoner, er at de har et klart ønske om å automatisere oppgaver, men er usikker på hvilke systemer som fins.

Andre fellestrekk er at de;

  • ønsker å begrense mengden manuelt arbeid så mye som mulig,

  • de har definert en ansvarlig, en personvernrådgiver, men de står foreløpig uten tilstrekkelig IT-teknologi til å støtte rollen.

  • kommunikasjon med databehandlere og systemeiere er mangelfull

  • den registrertes begjæring om innsyn, sletting osv vil skje manuelt og ad-hoc dersom man ikke finner rett verktøy

  • de frykter at oppgavene blir uoversiktlig, dokumentering av compliance vanskelig og at man over tid vil tape kontroll

Det er mye å velge mellom og det er greit å vite hva som løser dine utfordringer på en måte som ikke skaper unødvendig risiko.


Om du ønsker å vite om applikasjoner kan være riktig løsning for din bedrift så kan vi hjelpe deg.


Kontakt oss på info@paratumconsulting.com

eller besøk oss på www.paratumconsulting.com

Paratum Consulting AS

Postboks 320

2303 Hamar

ParatumConsulting © 2018 -  all rights reserved

  • Facebook Basic Black
  • LinkedIn Basic Black