Hva er lovkravet GDPR og hva vil det si for din ERP løsning?

Hva er GDPR?

GDPR står for General Data Protection Regulation (GDPR), og er et lovverk vedtatt av EU med formål å styrke alle EU-borgeres personvern. GDPR er gjeldende for Norge fra 20.07.2018, og erstatter EU Data Protection Directive 95/46/EC. GDPR pålegger eiere av persondata (virksomheter) å håndtere disse data på visse måter. Den pålegger systemleverandører å tilrettelegge sine systemer slik at håndtering av data kan skje i henhold til regelverket. Det som kreves av systemet er at det er tilrettelagt slik at det er mulig å oppfylle kravene. Tilslutt er det virksomheten selv som må påse at reglene blir fulgt.

4 steg for GDPR

Identifiser

Hvilke personlige data har du, og hvor lagres de?

Administrer
Kontroller hvordan data registreres og brukes

Beskytt
Etabler sikkerhetsrutiner som forhindrer, oppdager og responderer på sårbarhet

Rapporter
Behandle dataforespørsler og rutinesvikt og sørge for påkrevd dokumentasjon

Hvordan kan NAV hjelpe deg i denne prosessen?

Identifiser

Microsoft lanserte i April en ny oppdatering som en såkalt client build til NAV 2015, 2016, 2017 og 2018. Denne inneholder ny funksjonalitet for å klassifisere feltene i NAV i henhold til krav i GDPR. Løsningen krever en klient oppgradering av ditt Dynamics NAV system.

I denne medfølger foreslått klassifisering av alle standard felter i løsningen. Du vil få mulighet for å endre klassifiseringen og for å tilføye tilpassede felter du som eier av systemet har i din lokale løsning. Det er også verktøy for eksport og import av denne informasjonen til Excel. Selv om det ligger foreslått standard klassifisering kan ikke Microsoft eller vi i Oseberg/Sumango vite hva du og dine brukere faktisk skriver i feltene. Det er derfor systemeiers ansvar å gjennomgå at sensitivitets nivået på feltene stemmer med hva dere faktisk legger inn av data. Denne informasjonen skal brukes både som en guide til hvilke type data dere kan legge i feltene, samt kunne rapportere hvilke sensitive data som er lagret.

Administrer

Virksomheten må ha retningslinjer for hva som skal registreres hvor, og hvem som skal kunne gjøre hva. Her kan NAV hjelpe dere og styre hvem som for eksempel kan endre visse data i systemet. Hva som blir skrevet i hvert felt må retningslinjer fortelle og de ansatte respektere.

Beskytt

For å beskytte personlig data skal man også påse at data er lagret sikkert. Det sikrer NAV ved bruk av kryptering og personlig tilgangskontroll. Du kan også sette opp data logging for å se hvem som har gjort hva med hvilke data. Endringslogg er en standardfunksjon i NAV.

Rapporter

Dersom det kommer en forespørsel på hvilke data som er registrert på en person, skal man kunne sende en rapport på dette i ett vanlig format (slik som CSV eller XML) slik at personen kan kontroller hva som er registrert. Man skal også kunne endre eller slette data dersom personen ønsker dette, men merk at andre lover kan trumfe GDPR slik som Bokføringsloven, kassaloven etc. Eksport, endring og sletting av persondata blir lettere når du har foretatt klassifiseringen og vet hvor du har lagret ulike data. Oseberg kan være behjelpelige med å tilpasse rapportering til ditt behov.

Hva er sensitiv data?

Din bedrift er med andre ord pålagt å følge GDPR direktivet som trer i kraft.

Du må oppdatere rutiner for hva og hvordan man registrerer sensitiv informasjon og bevisstgjøre dine medbrukere.
Du må ta stilling til hvordan du skal Identifisere sensitiv data i systemet. Der har du tre valg per i dag

1. Lag din egen oversikt, for eksempel Excel, over hvilke tabeller\områder i NAV hvor du har sensitiv data og hvilke felter det gjelder og sørg for å vedlikeholde denne ved endringer.

2. Vårt morselskap, Oseberg Solutions AS, utvikler en løsning som lar deg utføre og vedlikeholde klassifiseringen som et skjermbilde og holde oversikten rett i din NAV versjon foreløpig i påvente av neste gang du skal oppgradere. Dette vil være en funksjon vi installerer i din NAV base og du vil få opplæring i bruk av løsningen. Du som er på skyløsning med Sumango og Dynamics NAV trenger ikke å tenke på oppgradering.

3. Gjør en oppgradering: enten full NAV oppgradering eller en klientoppgradering og få med det alle tilpasninger Microsoft har gjort i sin siste release. (Klientoppgradering: NAV serverinstallasjon må konverteres opp. Ny versjon av NAV applikasjon må installeres på server. Dretter må man installere ny klient på maskinen til alle brukere).

 

Ta gjerne kontakt med oss om du lurer på noe!