GDPR: Utvecklarna är nyckeln till att uppfylla dataskyddsförordningens krav

Dataskyddsförordningen, GDPR, befäster i stora drag det arbete som påbörjats genom personuppgiftslagen, PUL (vår svenska implementering av dataskyddsdirektivet) och de råd och föreskrifter som utvecklats under 2000-talet. Den kontroll som behöver göras inför den 25 maj 2018 då dataskyddsförordningen blir lag i Sverige är därför snarare att se till att organisationen uppfyller personuppgiftslagens krav och Datainspektionens råd idag – då uppfyller man dataskyddsförordningen i alla väsentliga delar.

Läs också: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler

Med dataskyddsförordningen blir informationskraven till de registrerade lite mer omfattande och vi får ett uttryckligt krav på att bygga in tekniska integritetslösningar.

Informationskravet ökar alltså med den nya dataskyddsförordningen. Användaren måste informera de registrerade om hur uppgifterna ska behandlas, begära samtycke om det behövs, tillåta insyn i behandlingen och radera uppgifterna. Gör det möjligt för kunden att uppfylla de kraven genom ny funktionalitet i sitt ärendehanteringssystem.

Läs också: EU:s nya regler påverkar alla företag – det här är vad du måste veta

Att utveckla tekniska lösningar som tar hänsyn till integriteten är det absolut viktigaste arbetet för alla som vill uppfylla dataskyddsförordningen.
Vad innebär det att tillämpa privacy by design? Jo, att låta tekniken styra användaren rätt. Genom att exempelvis begränsa möjligheten till fritextfält i affärssystemen och skapa fält utifrån integritetsperspektivet, så hjälper du såväl användaren som den personuppgiftsansvarige och personuppgiftsbiträdet att uppfylla dataskyddsförordningens krav.
Tekniska krav på ett affärssystem idag måste därför ha sin utgångspunkt i ändamålet med systemet, snarare än vad som är tekniskt möjligt. Det är alltså dags att skala ner och begränsa systemen.

Under ert utvecklingsprojekt bör följande aspekter vägleda. Se det som en checklista för grundläggande privacy by design och imponera på kunden.

1. Begränsa mängden personuppgifter som kan läggas in i systemet, använd alias eller andra pseudonymer istället.
2. Skapa inte rutinmässigt fält för att lägga in personnummer om det inte måste användas.
3. Se till att användaren inte kan samla in mer information än vad som behövs för den arbetsuppgift som systemet ska hjälpa till att uppfylla.
4. Gör det inte möjligt att lägga in känslig information om det inte är en förutsättning för användningen av just det systemet.
5. Se till att användaren inte kan ha kvar personuppgifterna längre än de behövs.
6. Begränsa åtkomsten till uppgifterna!. Använd roller och gruppindelningar. Var noga med att bygga in skydd så att det blir lätt att komma åt uppgifterna för identifierade användare samtidigt som andra inte ens har möjlighet till åtkomst. En och samma användare kan ju ha olika roller i samma affärssystem.
7. Se till att användaren inte kan använda personuppgifterna till något annat än de samlades in för.
8. Tänk på säkerheten. Skydda uppgifterna, se till att tillämpa autentisering för åtkomst till personuppgifter och logga åtkomsten. Tillämpa kryptering när det är möjligt, särskilt på mobila enheter.
9. Bygg in automatisk gallring av personuppgifterna (och på samma sätt motsatsvis även stöd för säkerhetskopiering). Se då till att gallringen innebär en säker utplåning. Glöm inte att även ha en process för gallring i backup-kopior.

Läs också: Fem viktiga nyheter i EU:s dataskyddsförordning – så påverkas dina it-upphandlingar

Genom att bygga in integritetsaspekter, både i de system du levererar till kunder och de du använder själv, ökar du dramatiskt möjligheten att uppfylla dataskyddsförordningens krav. Det är en riktig konkurrensfördel på marknaden. Dessutom minskar du kostnaden för onödiga arbetsinsatser både från din och kundens sida med att hantera integritetsproblemen i efterhand.