Vikten av att implementera GDPR i dina utvecklingsprocesser.

Att vi på Insatt kan det här med GDPR är ingen hemlighet och under våren och sommaren har flera av våra jurister arbetat med implementeringsprojekt där vi hjälpt många kunder i sin anpassning. En av våra främsta experter inom området är Daniel Glaad och här följer en kort intervju om hans reflektioner efter vårens och sommarens högtryck.

Under våren och sommaren pågick ett intensivt arbete att hjälpa företag att möta de nya GDPR-kraven, vad är dina reflektioner såhär i efterhand?

Trots att det gått flera månader sedan GDPR började tillämpas står många företag och organisationer fortfarande oförberedda om Datainspektionen skulle inleda en granskning. Ofta lever man i tron om att man kan vidta åtgärder efter en granskning och därmed undgå sanktioner. Något som lätt glöms bort är exempelvis kraven på inbyggt dataskydd (privacy by design) och dataskydd som standard (privacy by default). Dessa krav är särskilt viktiga när det kommer till uppbyggnaden av interna IT-system och produktutveckling. Här ser vi en stor möjlighet att sänka våra kunders risker genom att GDPR-säkra dessa delar av verksamheten. Något som annars tar lång tid och kraft att rätta till i efterhand.

Påverkar GDPR kravställningen på IT-system?

IT-system innehåller ofta stora mängder information som sträcker sig bakåt i tiden innan vare sig leverantör eller beställare fått upp ögonen för dataskydd och integritet. Genom att lyfta frågorna redan i kravspecifikationen så finns det mycket större möjligheter att få till en integritetssäker IT-miljö. Risken är annars stor att systemet innehåller fler personuppgifter än lagen tillåter och att det inte heller finns de funktioner som krävs för att tillgodose de registrerades rättigheter. Det kan räcka med en missnöjd medarbetare eller kund för att dra ljus åt systembrister.

Du nämnde även produktutveckling, hur ska kunderna tänka där?

Det är idag mer regel än undantag att utvecklingen av nya produkter och tjänster på något sätt omfattar behandling av personuppgifter. Ofta är den information som en tjänst samlar in i sig lika värdefull som den är viktig för tillhandahållandet av den aktuella tjänsten. Exempelvis kan en pulsklocka både registrera dokumentationen om ett träningspass för den enskilde användaren, men som molntjänst kan det också medföra en värdefull sammanställning av många människors träningsmönster, distanser, tider mm. Detta kan senare användas för marknadsanalyser och helt andra ändamål än det ursprungliga. Därför är det extra viktigt att alla delar kring personuppgiftsbehandlingen är noggrant genomgången så att den överensstämmer med GDPR. Det kan bli mycket kostsamt att bygga om produkten i efterhand och i värsta fall blir omställningen så pass stor att det drabbar hela affärsidén.
Genom att ställa rätt frågor och ha med integritetsfokuset från början blir produktutvecklingen både mer kostnadseffektiv och säker, för både produktägaren och kunden.

Hör av er till oss så hjälper vi er att skapa processer för GDPR-säker produktutveckling och IT-miljö genom att exempelvis:
– Checklista för inköp av IT-system
– Riskanalys av befintliga IT-system
– Checklista för produktutveckling
– Riskanalys av befintliga produkter
– Åtgärdsplan för att GDPR-säkra verksamheten