Ni vill arbeta effektivt med att efterleva GDPR men Excel eller ert befintliga system gör inte riktigt jobbet. Men att ge sig ut på marknaden och försöka hitta ett GDPR-system som passar bättre är en utmaning i sig. Vad ska ni egentligen ställa för krav och utvärdera olika leverantörer på för att få en effektiv lösning?
Vilka krav ni har är delvis organisationsspecifikt och individuellt för er. Men det finns ett antal kriterier som är viktiga oberoende av hur er organisation ser ut. I det här blogginlägget har vi listat de krav ni bör ställa på ett GDPR-system som hanterar er registerförteckning och efterlevnad av GDPR på ett effektivt sätt.
Systemet ska vara enkelt för sällananvändare
De som vet hur ni hanterar personuppgifter är ofta personer ute i verksamheten som inte har som daglig uppgift att arbeta med GDPR. Det leder till att de som ska registrera nya personuppgiftsbehandlingar i registerförteckningen är sällananvändare. Det system ni bestämmer er för behöver därför vara enkelt för sällananvändare.
Det innebär att systemet inte ska kräva omfattande utbildning, utan att det är självförklarande. Ett sätt att uppnå detta är att säkerställa att registrering av personuppgiftsbehandlingar följer ett bestämt flöde med hjälptexter som förtydligar.
För att underlätta för sällananvändare behöver det dessutom vara enkelt att logga in. Här kan lösningar som SSO underlätta, så att era användare slipper hålla reda på ytterligare ett lösenord.
Det är möjligt att själv anpassa formulär och svarsalternativ
Vad ni vill ha med i er registerförteckning skiljer sig säkerligen från en annan organisation. Det är därför viktigt att det finns möjlighet att själv anpassa formuläret och svarsalternativen – så att ni får in relevanta svar som passar er.
Det finns ett antal frågor som är obligatoriska enligt Dataskyddsförordningen, men utöver detta har ni säkert andra frågor ni vill ha svar på. Kanske är det viktigt för er att synliggöra vilken informationsbärare informationen finns i? Då behöver ni själva kunna skapa drop-down listor med de informationsbärare ni har i er organisation – inte jobba efter en standardiserad och hårdkodad mall.
Tänk dock på att inte låta frågebatteriet gå överstyr i omfattning. Det är vanligt att vi vill samla in så mycket information som möjligt, men fundera på vad som är relevant så att ni inte bygger ett register som är omöjligt att hålla uppdaterat. Du kan läsa mer om vanliga utmaningar i arbetet med registerförteckningen och hur du undviker dem här.
Det är enkelt att få översikt över relevanta personuppgiftsbehandlingar
För att arbeta effektivt med GDPR behöver ni enkelt kunna få översikt över relevanta personuppgiftsbehandlingar. Som enskild personuppgiftslämnare behöver man inte och ska man kanske inte heller se alla personuppgiftsbehandlingar som finns i organisationen.
Här behöver ni stämma av att GDPR-systemet har en bra behörighetsstyrning där endast relevant information visas. Detta är viktigt både för användarvänligheten men även för er informationssäkerhet. Behörighetsstyrningen är dessutom med fördel rollbaserad. Det passar bättre för den flexibla organisationen där vissa arbeten sker i projektform eller inte alltid följer linjeorganisationen.
Det finns ett granskaflöde som gör att ni kan lita på informationen
För att få till kontinuitet och efterlevnad behöver ni jobba med uppföljningar över tid. Ni behöver ha koll på att personuppgiftsbehandlingarna i registret inte är något som ni dokumenterade 2018 och inte uppdaterat sen dess. Det gör att ni kan vara säkra på att ni har rätt information och att det är kontrollerat av någon. Helt enkelt att ni kan lita på informationen.
Med ett bra granskaflöde i ett system finns det dels en kontrollfunktion som gör att behandlingarna kan markeras som granskade, men det finns även stöd för uppföljning. Det kan t.ex. handla om att påminnelser automatiskt går ut till ansvariga varje år eller vartannat år med information om vilken personuppgiftsbehandling som ska granskas och eventuellt uppdateras.
Det är en säker lösning
Att den här informationen hanteras på ett säkert sätt känns ganska självklart i sammanhanget. Men vad innebär egentligen en säker lösning?
Några punkter som kan vara viktiga att stämma av är om informationen lagras i Sverige, att datacentret är säkerhetsklassat eller har någon typ av standardiserad certifiering som ISO27000 och att det finns säkra inloggningslösningar som SSO och multifaktorsautentiering. Dessutom är en bra loggningsfunktion viktigt för spårbarheten i verktyget.
Det finns som sagt en mängd olika krav att ta hänsyn till och ställa när ni letar nytt verktyg för er registerförteckning och ert dataskyddsarbete. Vi pratar gärna mer om era krav och hur vår lösning Integrity kan möta upp mot dem. Läs mer om Integrity här eller boka en demo.
