GDPR ur ett data warehouse-perspektiv
Publicerad 07 nov 2017
Informationslager innehåller per definition stora mängder data, och att navigera bland de juridiska aspekterna av GDPR kan vara något av en utmaning. Men det behöver inte vara ett problem.
Ingen kan vid det här laget ha missat att den nya dataskyddsförordningen GDPR träder i kraft nästa år. Praktiskt taget alla företag och organisationer behöver på något sätt förhålla sig till de nya reglerna, men exakt hur och i vilken omfattning beror förstås på verksamheten. Data warehouse-miljöer berörs på sätt och vis extra mycket, på grund av de rena datamängderna och sannolikheten för att en betydande andel av datan juridiskt sett kan vara personuppgifter. Samtidigt finns stor osäkerhet kring hur de nya lagreglerna ska implementeras i praktiken. Som upplagt för katastrof?
– Inte alls, säger Henrik Serlow, VVD på Knowit Decision i Stockholm. GDPR är inte så exotiskt som det ibland verkar, och förhåller man sig idag korrekt till PUL borde övergången inte bli smärtsam. Det finns en del nya begrepp, men flera av dessa är anpassningar av befintliga termer: en PUL-ansvarig kan till exempel bli företagets GDPR Officer. Samtidigt bör man vara medveten om att det är allvar: böterna för den organisation som inte följer GDPR kan bli skyhöga och det bildas en ny kår av revisorer som enbart ska granska direktivet.
Personuppgifter ofta viktiga
Skyddet av personuppgifter är kärnan i GDPR, men i många data warehousemiljöer är personuppgifterna idag helt centrala. Rätten att bli glömd, som innebär att personuppgifter på begäran inom en viss tid ska raderas, verkar enkel vid en första anblick men får stora konsekvenser:
– Det går ibland bara inte att helt enkelt radera all historisk data, förklarar Henrik Serlow. Och det gäller inte bara banksektorn, utan till exempel HR-data i varenda företag. Den som gör det utan eftertanke får problem vid nästa revision.
– I Sverige har vi dessutom historia av att koppla allt till personnummer, tillägger Roger Hedqvist, Senior Consultant och Project Manager på Knowit Decision. Det är ju himla bekvämt men EU är inte så förtjust i det, milt sagt. Sedan gäller det att agera på att direktivet anser allt som kan kopplas till enskild person är en personuppgift, det är en lite vidare och tolkningsbar definition än PUL. Sveriges äldsta person är ju inte anonym om man kommer åt åldersdata. Men även kombinationer av enskilt anonyma uppgifter kan vara känsliga.
Designa bort problemen
En lösning är att designa system så att personuppgifterna ligger skyddade, i den mån de verkligen behövs. I vissa verksamheter finns få alternativ, till exempel måste banker behålla stora mängder data på grund av sina interna processer.
– Men data warehouse används för analys, och det gäller att fråga sig om personuppgifterna verkligen är nödvändiga för analysen, säger Roger Hedqvist. Troligen är anonymisering i analysdata en metod för många. Det finns alltid en lösning, men det gäller att ha koll på sina dataflöden, lyfta frågan i arkitektråd och så vidare. Allt man utvecklar framöver ska appliceras mot GDPR redan från början.
Även om Sverige är IT-moget och stressen inför GDPR är större på många håll i Europa just nu, är det en god idé att bygga GDPR-compliance i tid. Ett bra sätt att börja på är att tillsätta projekt som gör genomlysning, och gå igenom alla data – inte bara de uppenbara personnumren. Sedan börjar arbetet med att sätta upp strategier, kontrollera hur underleverantörer hanterar data, hur de interna processerna ser ut: hur hanteras revision, avrapportering till kund, eller avslutade engagemang?
– Knowit hjälper gärna till med processen, säger Henrik Serlow. Vi har en egen review av direktivet ur ett IT-perspektiv, och det är lättare för oss att sätta oss in i det juridiska än för en jurist att sätta sig in i IT.
För mer information kontakta gärna Henrik Serlow eller Roger Hedqvist.
Vill du arbeta med oss, läs mer om alla våra lediga jobb här!