Vilka krav ska du ställa på ett dataskyddsverktyg

Publicerat 2021-11-03

Vilka krav ska du ställa på ett dataskyddsverktyg

Ni vill arbeta effektivt med ert dataskydd och efterlevnad av GDPR men Excel eller er befintliga systemlösning gör inte riktigt jobbet. Men att ge sig ut på marknaden och försöka hitta ett system som passar bättre är en utmaning i sig. Vad ska ni egentligen ställa för krav och utvärdera olika leverantörer på för att få en effektiv lösning?

Vilka krav ni har är delvis organisationsspecifikt och individuellt för er. Men det finns ett antal kriterier som är viktiga oberoende av hur er organisation ser ut. I det här blogginlägget har vi listat de krav ni bör ställa på ett verktyg som hanterar er registerförteckning och efterlevnad av GDPR på ett effektivt sätt. 

Verktyget ska vara enkelt för sällananvändare

De som är experter på hur ni hanterar personuppgifter är ofta personer ute i verksamheten som inte har som daglig uppgift att arbeta med dataskyddsfrågan. Det leder till att de som ska registrera nya personuppgiftsbehandlingar i registerförteckningen är sällananvändare. Den lösning ni bestämmer er för behöver därför vara enkel för sällananvändare.

Det innebär att verktyget inte ska kräva omfattande utbildning, utan att det är självförklarande. Ett sätt att uppnå detta är att säkerställa att registrering av personuppgiftsbehandlingar följer ett bestämt flöde med hjälptexter som förtydligar.

För att underlätta för sällananvändare behöver det dessutom vara enkelt att logga in. Här kan lösningar som SSO underlätta, så att era användare slipper hålla reda på ytterligare ett lösenord.

Det är möjligt att själv anpassa formulär och svarsalternativ

Vad ni vill ha med i er registerförteckning skiljer sig säkerligen från en annan organisation. Det är därför viktigt att det finns möjlighet att själv anpassa formuläret och svarsalternativen – så att ni får in relevanta svar som passar er.

Det finns ett antal frågor som är obligatoriska enligt Dataskyddsförordningen, men utöver detta har ni säkert andra frågor ni vill ha svar på. Kanske är det viktigt för er att synliggöra vilken informationsbärare informationen finns i? Då behöver ni själva kunna skapa drop-down listor med de informationsbärare ni har i er organisation – inte jobba efter en standardiserad och hårdkodad mall.

Tänk dock på att inte låta frågebatteriet gå överstyr i omfattning. Det är vanligt att vi vill samla in så mycket information som möjligt, men fundera på vad som är relevant så att ni inte bygger ett register som är omöjligt att hålla uppdaterat. Du kan läsa mer om vanliga utmaningar i arbetet med registerförteckningen och hur du undviker dem här.

Det är enkelt att få översikt över relevanta personuppgiftsbehandlingar

För att arbeta effektivt med dataskydd behöver ni enkelt kunna få översikt över relevanta personuppgiftsbehandlingar. Som enskild personuppgiftslämnare behöver man inte och ska man kanske inte heller se alla personuppgiftsbehandlingar som finns i organisationen.

Här behöver ni stämma av att verktyget har en bra behörighetsstyrning där endast relevant information visas. Detta är både ur ett användarvänlighetsperspektiv men även ur ett informationssäkerhetsperspektiv. Behörighetsstyrningen är dessutom med fördel rollbaserad. Det passar bättre för den flexibla organisationen där vissa arbeten sker i projektform eller inte alltid följer linjeorganisationen.

Det finns ett granskaflöde som gör att ni kan lita på informationen

För att få till kontinuitet och efterlevnad behöver ni jobba med uppföljningar över tid. Ni behöver ha koll på att personuppgiftsbehandlingarna i registret inte är något som ni dokumenterade 2018 och inte uppdaterat sen dess. Det gör att ni kan vara säkra på att ni har rätt information och att det är kontrollerat av någon. Helt enkelt att ni kan lita på informationen.

Med ett bra granskaflöde i ett verktygsstöd finns det dels en kontrollfunktion som gör att behandlingarna kan markeras som granskade, men det finns även stöd för uppföljning. Det kan t.ex. handla om att påminnelser automatiskt går ut till ansvariga varje år eller vartannat år med information om vilken personuppgiftsbehandling som ska granskas och eventuellt uppdateras.

Det är en säker lösning

Att den här informationen hanteras på ett säkert sätt känns ganska självklart i sammanhanget. Men vad innebär egentligen en säker lösning?

Några punkter som kan vara viktiga att stämma av är om informationen lagras i Sverige, att datacentret är säkerhetsklassat eller har någon typ av standardiserad certifiering som ISO27000 och att det finns säkra inloggningslösningar som SSO och multifaktorsautentiering. Dessutom är en bra loggningsfunktion viktigt för spårbarheten i verktyget.

 

Det finns som sagt en mängd olika krav att ta hänsyn till och ställa när ni letar nytt verktyg för er registerförteckning och ert dataskyddsarbete. Vi pratar gärna mer om era krav och hur vår lösning Integrity kan möta upp mot dem. Läs mer om Integrity här eller boka en demo.

Relaterat innehåll: