Måste du inventera din data under GDPR?

Måste du inventera din data under GDPR?

Ja. Men inte en traditionell datainventering.

En traditionell datainventering är ett register av den data som organisationen hanterar, och kan innehålla både personlig data och generell data (bokföring, statistik, nätverksdata etc). Generell datainventering är normalt kravställd från IT, säkerhet eller administrativa avdelningar, och genomförs genom manuell genomlysning eller automatiserade verktyg, och innehåller detaljerad information om nätverk och infrastruktur. Dessa register innehåller dock sällan detaljerad information om persondata, hantering av persondata eller laglig grund för denna hantering.

GDPR ställer krav på en datainventering kring hanteringen, kallad ”registerförteckning” enligt artikel 30 i GDPR. Där finns en skyldighet att upprätta ett register över organisations samtliga interna hanteringar av personuppgifter, och detta register ska dessutom göras tillgängligt för dataskyddsmyndigheten då de begär det. Detta register ska innehålla:

(a) Namn och kontaktuppgifter till den ansvarige, och, där det är tillämpligt, den gemensamt ansvarige, den ansvariges representant och dataskyddsombudet;
(b) syftet och den legala grunden för hanteringen;
(c) en beskrivning av kategorierna av datasubjekt och av kategorierna av personuppgifter;
(d) kategorierna av mottagare som personuppgifterna skickats till, eller kommer skickas till, inclusive mottagare i tredje land eller internationella organisationer;
(e) där tillämpligt, överföringar av personlig data till ett tredje land eller en internationell organisation, inkluderande identifieringen av sådant land eller organisation, och där överföringar är av den typ som beskrivs i Artikel49(1), dokumentation av lämpliga skyddsåtgärder.
(f) där tillämpligt, tidsramar för borttagande av vissa kategorier av data;
(g) där tillämpligt, en generell beskrivning av tekniska och organisatoriska säkerhetsåtgärder beskrivna i Artikel 32(1)

Kraven i artikel 30 är rimliga. Innan en organisation vet vilka personuppgifter de hanterar, och vart dessa personuppgifter finns, kan de inte skyddas och och följsamhet mot GDPR kan inte uppnås.

Måste jag använda ett verktyg för att göra denna inventering?

Nej, GDPR specificerar inte hur registerförteckningen ska upprättas eller hur den ska hållas uppdaterad. Detta innebär att arbetet teoretiskt kan genomföras manuellt utan verktygsstöd. En sådan manuell hantering riskerar dock att bli mycket tids och resurskrävande, och det är några utmaningar som måste adresseras:

  • Hur ska inventeringsarbetet distribueras i organisationen till den person som förstår syftet med en viss specifik personuppgift?
  • Hur ska dessa delegerade arbetsuppgifter kontrolleras över tid för att säkerställa att de verkligen genomförs?
  • Hur ska intern träning ske för att säkerställa att uppgifterna utförs med tillräcklig kvalitet?
  • Hur ska dokumentationen göras för att säkerställa en gemensam standard?
  • Hur ska dokumentationen ske för att hantera personuppgifter som flyttas. Sökväg till fil räcker inte.
  • Hur ska datakällorna övervakas för att säkerställa att registerförteckningen alltid är uppdaterad?

Måste jag samla in mer data än vad som är beskrivet i artikel 30?

Nej, GDPR kräver inte att organisationen samlar in annan data än som är beskrivet i artikel 30.

Däremot beskriver artiklarna 15-23 i GDPR datasubjektens rättigheter.

Individer har nu rätt att ta del av den personliga data som en organisation hanterar som berör dem, tillsammans med följande information:

  • Syftet och den lagliga grunden för hanteringen av persondata
  • Källan till datan
  • Var och hur länge datan kommer hanteras
  • Till vem datan utlämnas
  • Om, och i vilken utsträckning, datan används för automatiserat beslutsfattande

Enligt GDPR ska dessa rättigheter uppfyllas inom en månad från förfrågan, de ska levereras i ett digitalt format, och vara kostnadsfritt för den enskilde.

Individer har också rätt till rättning, att bli bortglömda, begära begränsning av hanteringen och till dataportabilitet.

Om upprättandet av registerförteckningen riskerar att kräva stora resurser, kommer individuella rättigheter bli en mardröm, om inte registret också innehåller detaljerad information om den exakta placeringen av specifika personuppgifter.

Personuppgifter är all information, i kombination, som kan användas för att identifiera en levande individ, och GDPR kräver att det är personuppgiftsansvarige som vet vilka personuppgifter de hanterar. Detta innebär praktiskt att en begäran om registerutdrag baserat på ett personnummer, kan leda till ett dokument som också innehåller en e-postadress kontextuellt kopplat till det personnumret. Detta leder till att en ny sökning måste påbörjas för den e-postadressen, vilket i sin tur leder till ett kontextuellt kopplat telefonnummer i ett e-postmeddelande. Förnyad sökning måste då ske på det telefonnumret.

Eftersom personuppgifter är kontextuella, krävs alltså inte bara sökning, utan även genomläsning av varje dokument, för att utröna om andra personuppgifter hanteras.

Att hitta alla relevanta datakällor, dokument och e-postmeddelanden, och kontinuerligt förnya sökningen i alla dessa, samt läsa igenom alla träffar kommer kräva stora resurser. Särskilt som svar förväntas avges inom en månad från förfrågan.

Vidare, om förfrågan också innehåller en begäran om utlämnande av samtliga källor, dvs. filer och dokument, måste dessa maskas från andras personuppgifter innan de kan lämnas ut. Att inte genomföra en sådan maskning anses vara ett brott mot GDPR.

För att underlätta hanteringen av rättigheterna i artiklarna 15-24 GDPR rekommenderas därför att registerförteckningen även innehåller uppgifter om vilka personuppgifter som finns, samt var dessa är placerade i varje dokument, fil och e-postmeddelande. En sådan hög granulitet kommer dock göra en eventuell manuell hantering långt mer utmanande och tidskonsumerande.

Vad Aigine gör.

Aigine Inventory Engine underlättar och effektiviserar upprättandet av registerförteckning genom att tillhandahålla en semi-automatiserad digital process, där människa och maskin interagerar för att säkerställa effektivitet och hög kvalitet.

Detta uppnås genom att adressera problemen med manuell hantering:

  • Hur ska inventeringsarbetet distribueras i organisationen till den person som förstår syftet med en viss specifik personuppgift?

Aigine innehåller en workflow-motor som delegerar arbetet till berörda individer och förser dem med en personlig arbetsvy.

  • Hur ska dessa delegerade arbetsuppgifter kontrolleras över tid för att säkerställa att de verkligen genomförs?

Aigines workflow-motor övervakar arbetet och dess status. Dessutom tillhandahåller vi ett webbaserat, grafiskt användargränssnitt som gör arbetet både enklare och angenämare att genomföra. Det sistnämnda är inte oväsentligt, då dessa arbetsuppgifter konkurrerar med allt annat som ska göras.

  • Hur ska intern träning ske för att säkerställa att uppgifterna utförs med tillräcklig kvalitet?

Aigine använder algoritmer för att identifiera personuppgifter och markerar dessa i granskningsvyn. Vi tillhandahåller också en kontextuell kunskapsdatabas som visar relevant information från den nationella dataskyddsmyndigheten. Våra algoritmer föreslår också laglig grund, och där det är möjligt, ger förslag på hur länge personuppgifterna ska sparas.

  • Hur ska dokumentationen göras för att säkerställa en gemensam standard?

I Aigine sker dokumentation i ett digitalt, smart, formulär. Detta formulär gör att all dokumentation sker på samma sätt.

  • Hur ska dokumentationen ske för att hantera personuppgifter som flyttas. Sökväg till fil räcker inte.

Aigine användar hash-teknik för att identifiera document och filer, vilket gör att hänvisningen alltid pekar till rätt ställe, oavsett om flytt har skett eller inte.

  • Hur ska datakällorna övervakas för att säkerställa att registerförteckningen alltid är uppdaterad?

Genom att använda hash-teknologi upptäcker Aigine automatiskt när filer tillkommer eller ändras. Dessa filer delegeras av workflow-motorn, för att tillse att de blir granskade och dokumenterade.

Innan allt ovan sker applicerar Aigine algoritmer för att filtrera bort de dokument som inte innehåller personuppgifter, och som därför inte behöver granskas och dokumenteras.

Våra algoritmer skapas, och förbättras ständigt genom djupinlärning. Vi använder kollaborativt kognitivt lärande, vilket innebär att alla användare automatiskt förser det neurala nätverket med högkvalitativ träningsdata.

Allt detta gör att den faktiska arbetsinsatsen för att skapa registerförteckningen reduceras med mer än 97%, en siffra som hela tiden förbättras då algoritmerna ökas sin prestanda och språkförståelse.

Vår långsiktiga plan.

Aigine samlar in mycket mer data än vad som krävs av artikel 30 i GDPR. Anledningen till detta är att vi vill göra förvaltningen under GDPR mer effektiv över tid. Att genomföra inventering med Aigine är en direkt investering för framtiden, där vi kontinuerligt erbjuder add-ons som minskar arbetsbördan.

Genom denna data, tillsammans med våra ständigt förbättrade algoritmer, kan vi erbjuda monitorering, som inte bara säkerställer följsamhet mot GDPR, utan som också upprätthåller interna policies och säkerhetsbeslut.

Aigine vet också var i datan personuppgifter finns, och den exakta placeringen av varje potentiell personuppgift.

Hanteringen av individuella rättigheter med Aigine innebär därför inte en genomsökning av själva datan. Istället sker sökning i meta-data lagret, där alla relevanta e-postadresser, telefonnummer, adresser, IP-nummer osv direkt kan hittas. Aigine presenterar sedan en lista med samtliga funna datakällor, dokument, filer och e-postmeddelanden, tillsammans med information om laglig grund och tiden som personuppgifterna kommer hanteras. Presentationen sker i ett digitalt format som direkt kan skickas till den individ som ställt begäran.

En arbetsuppgift som potentiellt kan ta hundratals timmar, och leverera tveksam kvalitet, reduceras till några sekunder med 100% kvalitet.

Att lämna ut dokument är lika enkelt. GDPR förbjuder utlämnandet av några andra personuppgifter än de som tillhör den som ställt förfrågan, och alla filer, dokument och e-postmeddelanden måste därför maskas. Aigine har information om den exakta placeringen av varje personuppgift, och det krävande manuella arbetet med maskning kan därför ske automatiskt, med leverans i PDF/A där alla personuppgifter, utom just de som tillhör den som ställt förfrågan, är bortmaskade.

Genom att kombinera dessa teknologier kan vi också erbjuda automatiserad maskning, där filer och e-postmeddelanden automatiskt tvättas rena från personuppgifter då tiden för att hantera dem förfaller.

Det gör det möjligt för våra kunder att spara mer data, och därmed vara bättre förberedda för en datadriven framtid.

Aigines semi-automatiska digitala process. Mänskliga resurser används enbart där deras unika kompetenser krävs, men ingen överlämning sker någonsin mellan människor. Processbilden är skapad med 2c8 Modeling Tool.