Återgå till bloggindex

WinLas arbete med GDPR

Skrivet av Victoria Ronge den 13/04/2018, kl 16:31

Tiden går med stormsteg och snart är det 25 maj och den stora "domedagen" då GDPR träder i kraft. Många är ni som undrar hur WinLas kommer att hantera detta.



Vi började vår GDPR-resa för ungefär ett år sedan. Efter ett år med mycket läsning, podd-lyssnande (ni har väl inte missat City Networks GDPR podden?!), diskuterande och några utbildningar har vi nu landat i en ny version av WinLas, samt lagt planen för förändrade arbetssätt. Vi har också tagit fram ett eget personuppgiftsbiträdesavtal som inom kort kommer att börja skickas ut till våra kunder.



När det gäller anpassningen av våra system så har vi utgått mycket från ett minimeringstänk, dvs. vi har ställt oss frågan "är denna typ av personuppgiftsbehandling nödvändig?". Just därför har vi valt att minimera användningen av personnummer i systemen och ersatt dem med ett ID i databasen (det kommer även fortsättningsvis gå att söka på personnummer). Ett personnummer är i sin form ganska lätt att identifiera, men ett fristående ID som inte förekommer med andra uppgifter är "bara ett slumpat tal". I sitt sammanhang bör dock även ett ID ses som en "unik identifierare".



Andra anpassningar som vi gjort i systemen är att vi tittat över och skruvat på funktioner såsom gallring, loggning, begränsning av användares tillgång till data och kryptering. Vi kommer också ta bort möjligheten att registrera personalorganisation i WinLas, eftersom den uppgiften klassas som känslig.



Allt det ovan nämnda är alltså saker som vi skruvat på till den version som vi släpper nu i vår. Vi kommer sedan jobba vidare på att utveckla systemen ytterligare för säkrare hantering, bl.a. genom att utveckla loggarna, förenkla export av personuppgifter och gallring. I det ännu längre perspektivet pratar vi om att minimera behovet av export av data från WinLas, eftersom den uppmuntrar ostrukturerad behandling av personuppgifter som kan vara svår att hålla koll på.



Vi är personuppgiftsbiträden när det kommer till att vi hjälper våra kunder med installation, support, felsökning och andra typer av konsultinsatser. Vi strävar även här för att minimera användningen av skarpa data, men i vissa fall är det svårt att komma undan det behovet. I de lägena har vi till ansvar att få behandlingen godkänd av den ansvarige, samt att logga de aktiviteter som vi utför. Vårt supportsystem kommer att anpassas så att personuppgifter isoleras i separata fält som rensas efter att ett ärende har avslutats. Vi kommer dessutom logga vem som hämtat data och till vad den har använts.



Förhoppningsvis vet ni alla att det är den ansvarige som är skyldig att ge biträdet instruktioner på hur det ska behandla den ansvariges uppgifter. Det är dock inte helt ovanligt att det är svårt för "lekmannen" att ge "proffset" instruktioner. Vi har märkt av att när vi får avtal från våra kunder så är just bladet för att fylla i instruktioner ofta tomt. Därför har vi valt att arbeta fram ett eget avtal som vi fått granskat av jurist och som ska vara anpassat efter den behandling som sker i WinLas.

Om skribenten

Victoria skriver om allt från historia till framtidsvisioner & aktuella nyheter om vad som händer på WinLas.

Läs fler artiklar skrivna av Victoria Ronge

Kategorier

Detta inlägg är kategoriserat under följande kategorier: Nyheter