Att arbeta med registerförteckningen är enklare sagt än gjort. Det kan bli mycket information som ska inhämtas, sammanfattas och hållas uppdaterad när ni förändrar era arbetssätt eller börjar använda en ny typ av teknik. Men vilka är egentligen de största utmaningarna i arbetet med registerförteckningen? Vi har listat vanliga utmaningar och lösningar på problemen.
Verktyg som stjälper snarare än hjälper
Arbetet med registerförteckningen blir lätt komplext och krångligt och ofta helt i onödan. Det kan bero på många olika saker, men en anledning är att man har valt fel verktygstöd.
Antingen har man valt en för enkel lösning, som Word eller Excel, där det är svårt att få överblick över informationen, vart den finns och vart den senast är sparad. Eller så har man en för komplex verktygslösning som gör det mer avancerat än det egentligen är.
I grund och botten handlar det ju bara om att dokumentera grundläggande information om de personuppgifter vi hanterar i vår organisation.
Stora och komplexa frågeunderlag i registerförteckningen
Det finns ett antal frågor som GDPR stipulerar att vi behöver besvara i en registerförteckning. Men många gånger vill man fånga in så mycket information som möjligt när man registrerar en behandling. Det leder till frågeformulär på upp till 100 eller till och med över 100 frågor för att registrera en behandling. Resultatet blir att det är svårt att hålla registret relevant och uppdaterat med korrekt information. Om man i en organisation har 300 personuppgiftsbehandlingar och 100 frågor per behandling så blir det snabbt en heltidstjänst bara för att jobba med registerförteckningen.
I dataskyddsförordningen finns det sju obligatoriska frågor som man ska ha med i en registerförteckning. Genom att börja med dem och enbart bygga ut med det som är relevant får ni ett mer hållbart register att arbeta efter och hålla uppdaterat
För få användare registrerar behandlingar
Hur dataskyddsarbetet är organiserat skiljer sig från organisation till organisation men hos de flesta är det många personer som ska kunna registrera behandlingar. Det är experterna på varför vi hanterar just de här personuppgifterna för det här specifika ändamålet. Dessa är ofta utspridda i organisationen på olika nivåer och arbetar ofta med andra saker än dataskydd primärt.
De personer ni vill ska vara personuppgiftslämnare behöver därför enkelt kunna registrera behandlingar utan att behöva gå en omfattande utbildning för att kunna hantera den lösning där behandlingarna registreras. Det måste vara självförklarande och enkelt för att det ska bli av.
Svårt att synliggöra vart personuppgifterna hanteras någonstans
Personuppgifter rör sig mellan olika informationstillgångar – både digitala och analoga. Att synliggöra detta flöde och vart personuppgifterna finns kan vara krångligt. Speciellt om ni inte har koll på alla IT-system och tjänster, alla integrationer eller era arbetssätt och processer.
För att kunna synliggöra vart personuppgifter hanteras behöver ni ha koll på hur flödet ser ut och det behöver vara dokumenterat.
Bristande kontinuitet och efterlevnad
För många blev arbetet med registerförteckningen en engångsföreteelse. Det blev big-bang vid 2018 och organisationer satsade då på att registrera alla behandlingar. Efter det är det många som inte arbetat vidare med frågan.
Sen 2018 har det troligtvis hänt en hel del gällande hur ni behandlar personuppgifter. För att få korrekt information i registerförteckningen behöver ni därför arbeta med kontinuitet och efterlevnad.
Hur löser du ovan utmaningar?
För att lösa dessa utmaningar finns det flera saker som behöver fungera och samverka. Dels så behöver det finnas tydliga roller och ansvar så att alla vet på vilket sätt de bidrar i GDPR-arbetet. Dessutom behöver ni ha koll på era personuppgifter genom att prata med de som är experter på informationen och även göra dem ansvariga för att hämta in informationen.
Ni behöver veta vilka IT-system och tjänster ni har och hur informationen ni förfogar över rör sig mellan dessa. Detta kan även innebära att kartlägga era processer och arbetssätt.
Ett så slimmat frågeunderlag som möjligt gör registret hanterbart och förvaltningsbart. Var kritiska vid genomgång av ert frågebatteri och ställ er själva frågan om ni verkligen måste dokumentera allt ni frågar efter. Vad gör ni med den informationen sen? Är den nice-to-have eller need-to-have?
Utöver detta kan en effektivisering av arbetet krävas genom att jobba med ett användarvänligt system. Men endast om det faktiskt är så att ni har ett stort register eller flera personer som ska hålla det uppdaterat. Om ni inte kvalificierar på någon av dessa kriterier kanske det räcker gott och väl med Excel och Word.
Om det är så att ett system kan effektivisera er hantering så finns det en rad olika system ute på marknaden att välja på. Men hur ska ni veta vilket ni ska välja? I det här blogginlägget går vi igenom vilka krav ni ska ställa på ett gdpr-verktyg.
