Hur implementeras GDPR där du jobbar?

Trädvy Permalänk
Medlem
Registrerad
Jan 2011

Hur implementeras GDPR där du jobbar?

Tjabba! I samband med EU-direktivet GDPR där hanteringen av personuppgifter blir tuffare så vore det bra att förstå vad konkret som ska göras för att det skall uppfyllas. Det vore inte precis trevligt att åka på mångmiljonbelopp straffavgift för att man missat någon teknisk implementering enligt det nya EU-direktivet.

Ingen är ju 100% hacksäker men GDPR kräver bättre hantering av personuppgifter så jag undrar hur det har implementerats där du jobbar? Jag tänkte nämligen starta en svensk medlemssajt inom några få månader så vore bra att veta hur det konkret och praktisk ska utformas för att uppfylla det nya EU-direktivet.

Tack för svar på förhand! / AplAy.

Min Überkill Dator: Processor: Intel Pentium P5 66 Mhz OC | Moderkort: ASRock P4I65G | Minnen: 2st Samsung 128MB PC133 | Grafikkort: Canopus GeForce 256 DDR | Lagring: IBM 350 4,4 MB | Operativsystem: DOS/360 | Chassi: Mercury Full-Tower ATX Chassis |

Trädvy Permalänk
Medlem
Plats
STHLM
Registrerad
Apr 2008
Skrivet av AplAy:

Tjabba! I samband med EU-direktivet GDPR där hanteringen av personuppgifter blir tuffare så vore det bra att förstå vad konkret som ska göras för att det skall uppfyllas. Det vore inte precis trevligt att åka på mångmiljonbelopp straffavgift för att man missat någon teknisk implementering enligt det nya EU-direktivet.

Ingen är ju 100% hacksäker men GDPR kräver bättre hantering av personuppgifter så jag undrar hur det har implementerats där du jobbar? Jag tänkte nämligen starta en svensk medlemssajt inom några få månader så vore bra att veta hur det konkret och praktisk ska utformas för att uppfylla det nya EU-direktivet.

Tack för svar på förhand! / AplAy.

Rent konkret handlar det om att ta kontroll över vilka personuppgifter man har och hur dessa hanteras samt vem som har tillgång och varför. Det handlar primärt om individens integritet och inte om man kan bli hackad eller ej.

Vi har inte gjort någon "implementation" som antyder tekniska investeringar (som inte behöver uteslutas) utan snarare anpassat oss till de nya direktiven genom att definiera i våra biträdesavtal med våra kunder vilken information vi har och varför vi har dessa. Vi har också slutat skicka lönespecifikationer över okrypterad e-post.

Om du inte redan sett det så har du ganska mycket information på Datainspektionens hemsida.

Edit: När det gäller medlemssidor så kan det vara bra att känna till att lagring av personuppgifter måste godkännas av medlemmen genom en aktiv handling som att kryssa i en "Jag godkänner..."-ruta som INTE är förvald.

There are two kinds of people: 1. Those that can extrapolate from incomplete data.
Min tråkiga hemsida om mitt bygge och lite annat smått o gott: www.2x3m4u.net

Trädvy Permalänk
Medlem
Registrerad
Jul 2004

Vi har "bara" inventerat våra system. Provisioneringssystemet är fullknökat med uppgifter och dubblerat mot CRM och fakturering, så vi har insett att för att uppfylla GDPR så måste vi göra om. Så, nytt provisioneringssystem ut med all data om folk till ett eget system och sedan polla in data vid behov (exempelvis status eller liknande) men inte spara något. Vi kommer inte vara klara i maj men resonemanget är sådant att är vi inte kan få skit/böter under övergången (enligt en av dom sitter med i datainspektionens grupp för gdpr).

Det är ett jättejobb och vi måste göra om massor. (Gäller nätägare, KO, och ISP samt andra nyttigheter).

CPU: I7 4770K Grafik: Poseidon Platinum GeForce GTX 980Ti Moderkort: Asus Maximus VI Hero Z87 RAM: 16Gb Corsair Dominator Platinum CL9 Nätagg: Corsair HX1050 Gold SSD: Corsair Force GT 240Gb SSHD: Seagate Desktop 4TB Låda: Corsair Graphite 600T

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Okt 2012
Skrivet av Dr.Mabuse:

Rent konkret handlar det om att ta kontroll över vilka personuppgifter man har och hur dessa hanteras samt vem som har tillgång och varför. Det handlar primärt om individens integritet och inte om man kan bli hackad eller ej.

Vi har inte gjort någon "implementation" som antyder tekniska investeringar (som inte behöver uteslutas) utan snarare anpassat oss till de nya direktiven genom att definiera i våra biträdesavtal med våra kunder vilken information vi har och varför vi har dessa. Vi har också slutat skicka lönespecifikationer över okrypterad e-post.

Om du inte redan sett det så har du ganska mycket information Datainspektionens hemsida.

En följdfråga blir här hur ni då tänker med gallring och rutiner för detta när du säger att det inte är några tekniska investeringar? Nu vet jag ju inte vilken typ av verksamhet ni bedriver men det är ju inom många verksamheter så att behovet av att lagra information på enskilda individer kan försvinna före behovet av lagring på hela kunden försvinner.

Ett exempel kan vara försäkringar där ett företag tecknar försäkring för sina anställda och hur man då hanterar personuppgifter på de försäkrade som slutat på företaget. Kundavtalet löper då kanske längre än man kan motivera att ha kvar information om den enskilda individen som slutat, och således måste man ha rutiner på plats som säkerställer att individens information gallras.

Tycker inte den största frågan är hur man lagrar informationen utan snarare hur man ser till att vid varje given tidpunkt bara ha den informationen man kan motivera att man skall ha.

Trädvy Permalänk
Medlem
Registrerad
Jan 2011
Skrivet av Dr.Mabuse:

Rent konkret handlar det om att ta kontroll över vilka personuppgifter man har och hur dessa hanteras samt vem som har tillgång och varför. Det handlar primärt om individens integritet och inte om man kan bli hackad eller ej.

Vi har inte gjort någon "implementation" som antyder tekniska investeringar (som inte behöver uteslutas) utan snarare anpassat oss till de nya direktiven genom att definiera i våra biträdesavtal med våra kunder vilken information vi har och varför vi har dessa. Vi har också slutat skicka lönespecifikationer över okrypterad e-post.

Om du inte redan sett det så har du ganska mycket information på Datainspektionens hemsida.

Edit: När det gäller medlemssidor så kan det vara bra att känna till att lagring av personuppgifter måste godkännas av medlemmen genom en aktiv handling som att kryssa i en "Jag godkänner..."-ruta som INTE är förvald.

Tack för svar! Finns alldeles för mkt info och "svårt att se alla träden för skogen", dvs., det konkreta man gör. Är det här man ska läsa? https://www.datainspektionen.se/dataskyddsreformen/forberedel... och luska ut hur det omvandlas till konkreta implementeringar?

Jag tänker mig att jag bara ska spara personuppgifter som krävs enligt svensk lag och EU-direktivet, och jag ska inte ha någon tillgång mer än att se antalet kunder på sidan och möjligen se om de är privatpersoner eller företag för att underlätta för bokföringen som krävs enligt svensk lag. Jag är ingen "datainsamlingsgalning" som Google eller andra stora världsföretag är som behöver det till
sin marknadsföring.

Det hade ju varit skönt om man slapp ha några fler personuppgifter än det som hemsidan behöver spara i databas för att personen ska kunna logga in, och utföra automatiska betalningar på medlemsprenumerationen. Personligen skiter jag ju i var dem bor, deras telefonnummer, och personnummer, men det kanske är lag på att ha sådan info om ens kund för att kunna påvisa att kunden är svensk privatperson eller företag eller utländsk, och myndig för att det ska gå rätt till med moms och tjoffs?

Min Überkill Dator: Processor: Intel Pentium P5 66 Mhz OC | Moderkort: ASRock P4I65G | Minnen: 2st Samsung 128MB PC133 | Grafikkort: Canopus GeForce 256 DDR | Lagring: IBM 350 4,4 MB | Operativsystem: DOS/360 | Chassi: Mercury Full-Tower ATX Chassis |

Trädvy Permalänk
Medlem
Plats
Sthlm
Registrerad
Apr 2004

I kort.
Inventering av samtliga system (vilket uppgifter, varför).
Genomgång av avtal med samtliga moln-leverantörer och förtydligande av personuppgiftsbiten där det är tillämpligt.
En lång rad nya interna rutiner för att kunna tillgodose kraven om radering/uppdatering av PU i samtliga system.
Kommande internutbildningar, vad är en personuppgift och hur hanterar vi den internt med avseende lagra/kopiera/sprida.

Det är för oss ett ganska mastigt arbete.

Trädvy Permalänk
Medlem
Plats
STHLM
Registrerad
Apr 2008
Skrivet av Aktsu:

Tycker inte den största frågan är hur man lagrar informationen utan snarare hur man ser till att vid varje given tidpunkt bara ha den informationen man kan motivera att man skall ha.
[/b]

Det är faktiska samma sak. Hur man lagrar data definierar hanteringen. Semantik kan tyckas men det är ungefär vad jag menar. Eftersom vi har förhållit oss till PUL har övergången varit relativt smärtfri. Vi har endast behövt kompletterat våra befintliga rutiner så dessa är i linje med GDPR (såvitt vi jag vet).

T.ex.om en anställd slutar raderas personen från vissa register - så var det inte tidigare. Det har vi lagt till.
Av skattetekniska skäl måste dock vissa grunduppgifter sparas för att sedan destrueras efter en viss tid - vilket vi redan gör. Osv...
När det gäller personuppgifter som rör våra kunder så har vi gjort friskrivningar och genomlysning beträffande hanteringen som jag skrev tidigare. Nytt är att detta skrivs in i klausuler så vi kan redovisa detta för ansvarig myndighet.
Det finns såklart många aspekter och infallsvinklar som jag inte behärskar eller mäktar med att gå in på. Det jag redogör för är det jag snappat upp av vår interna GDPR-ansvarig.

There are two kinds of people: 1. Those that can extrapolate from incomplete data.
Min tråkiga hemsida om mitt bygge och lite annat smått o gott: www.2x3m4u.net

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jun 2002

För oss (jag jobbar på en fordonstillverkare) är detta ett rätt omfattande arbete. En sak är utbildningspaket (e-learning) till alla (>20k?) anställda som inte jobbar i direkt produktion, ytterligare kurser till de speciellt berörda. En annan är "friskrivningsklausuler" gentemot slutkund. Men det tillkommer problem om t ex hur vi på ett icke-intrusivt vis kan använda slutkundens beteende och använding av produkten för att förbättra dels enskilda kundens upplevelse, dels förbättra för en större del av kundpopulationen, och även återföra till produktutveckling. Ex: "vi ser att du inte använder farthållaren särskilt ofta, så här slår man på den". Men hur all den massiva datamängden ska kunna presenteras för enskild kund om denne önskar full transparens... svåra frågor.

I thought the only thing the internet was good for was porn.
-Bender, Futurama

Trädvy Permalänk
Medlem
Registrerad
Aug 2002

Tja på min förra arbetsplats påbörjades arbetet kring slutet 2016 om jag inte minns fel och det fanns ändå inte en chans i hell att hinna klart.

Men som någon sa tidigare så har det givits indikationer på att det ”räcker” om man är igång och har en bra plan att visa upp.

Det är helt horribelt hur det sparas, sprids och används upersonuppgifter när man väl började titta på det.

GDPR är betydligt bredare än bara lagring, även hur man får använda uppgifter, samt mer nischade grejor som ”vad är en personuppgift?”. Exemplet jag fick av en jurist är om man typ tar någon liten ”by” där det typ bor 10 pers... Att då skriva ”den flintskallige mannen med glasögon” kan då räknas som personuppgift eftersom det unikt identifierar en person...

OBS! Mina inlägg ska, där applicerbart, ses som mer allmänt filosoferande och avspeglar långt ifrån alltid min personliga åsikt i frågan.

Trädvy Permalänk
Medlem
Plats
Götet
Registrerad
Okt 2013

Vi jobbar mycket med säkerhetsklassningar. Alla system behöver ju inte samma säkerhet. Så den största bollen är en inventering av alla system (100+) och vilken säkerhetsklassning de har. Sen måste vi utveckla säkerheten för vissa av de interna systemen (login med loggning osv.).

Sen är rutiner kring medgivande och tillbakatagande av detta en stor bit. Även gallringsrutinerna som påpekats tidigare. Måste ha gallringsrutiner för SAMTLIGA system, även backups och integrationssystemens cache som ligger o skvalpar på nån server i Sverige nånstans.

Sen har vi hela kapitlet med testmiljöer och testdata. Stort arbete att fullt ut anonymisera alla testmiljöer men ändå behålla vissa rutiner för att skapa stora datamängder baserat på produktion.

Sen glöms "portability" ofta bort. Dvs underlätta för flytt av vår data till ett konkurerande företag.

Någon ovan nämnde att "de är säkert snälla i en övergångsperiod bla bla bla"... Övergångsperioden är SLUT 25 maj. Den startade redan för 2 år sedan!! Om något så kommer de vara extra nitiska i början för att få till prejudikat ganska snabbt (kolla andra EU direktiv så är det så det har gått till).

Processor: Motorola 68000 | Klockfrekvens: 7,09 Mhz (PAL) | Minne: 256 kB ROM / 512 kB RAM | Bussbredd: 24 bit | Joystick: Tac2 | Operativsystem: Amiga OS 1.3

Trädvy Permalänk
Medlem
Plats
NV Skåne
Registrerad
Jun 2007

Vi gör ett dödsjobb som bland annat innebär att vi stänger system vi inte orkar GDPR-säkra, och lyfter över datan till andra system som vi har eller kommer säkra istället. Vi uppdaterar processer kring kunderna, implementerar "right to be forgotten"-rutiner, tightar upp säkerheten internt kring kunddata och ser till att det finns 100 % spårbarhet överallt det förekommer någon tillstymmelse till personuppgifter.

All in all, en jäkla massa IT-timmar.

i5 8600k@4.68 GHz || ASUS ROG STRIX GTX 1080 || 16GB RAM 3000MHz || ASUS Z370-H Gaming || Be Quiet! 580W Modular || Noctua NH-D15 || Fractal Design Define R6 || 2x 250GB SSD, 5TB HDD || ASUS VG278HE & 2x BenQ RL2450HT || Logitech G710 & G700 & G13 & G533
* De gav mig en present. Jag gav dem en present. Vet du inte skillnaden, använd "dom".
* Fraktfritt på Inet för verifierade SweC-medlemmar

Trädvy Permalänk
Medlem
Registrerad
Jul 2004
Skrivet av talonmas:

Någon ovan nämnde att "de är säkert snälla i en övergångsperiod bla bla bla"... Övergångsperioden är SLUT 25 maj. Den startade redan för 2 år sedan!! Om något så kommer de vara extra nitiska i början för att få till prejudikat ganska snabbt (kolla andra EU direktiv så är det så det har gått till).

Det enda som liknar ditt citat där är mitt inlägg, där jag skriver att DI (själva) har sagt att det är OK så som vi gör.

Om det är mitt du hänvisar till:
Använd citatknappen om du ska citera, ge fan i att skriva om andras inlägg, lägg inte ord i mun på folk.

CPU: I7 4770K Grafik: Poseidon Platinum GeForce GTX 980Ti Moderkort: Asus Maximus VI Hero Z87 RAM: 16Gb Corsair Dominator Platinum CL9 Nätagg: Corsair HX1050 Gold SSD: Corsair Force GT 240Gb SSHD: Seagate Desktop 4TB Låda: Corsair Graphite 600T

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Aug 2010

Det påverkar en hel del.
Vi har redan fått en arbetsgrupp(IT-arkitekter) för GDPR och det kommer så småningom bena ut sig i åtgärder och ny design i våra system.
För min del så kör jag redan revideringar för att bygga om vissa system och kan bygga in mycket funktionalitet kopplat till GDPR redan nu.
I sommar kommer vi ha gjort mycket för att känna oss ganska lugna när det gäller GDPR. Men ca 90% av jobbet hade behövts göras oavsett GPDR eller inte, med skillnaden att jag nu är medveten om GDPR när jag designar lösningar.

Det är mer säkerhetsarbete som jag vill initiera framöver och förmodligen får igenom, till en viss del är tack vare GPDR.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Sthlm
Registrerad
Mar 2011

Jobbar på en bank med föråldrat system så du kan ge dig fan på att det har påverkat oss. Vi driver projekt bara för att bli compliant.....

|Define XL | AX850W | P8P67 EVO | 2600K | NH-C14 | GTX 980 | Vengeance 2x4GB | 520 240 GB + VelociRaptor 160gb+ F1 1TB + Green 2TB + 2xWD Black 4TB | ROG SWIFT PG279Q | Essence STX | DT880 PRO @ 250 ohm + Modmic V4| MK-85 Pro (Brown)|5K Laser|

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av Mithras:

Jobbar på en bank med föråldrat system så du kan ge dig fan på att det har påverkat oss. Vi driver projekt bara för att bli compliant.....

Väldigt OT men kunde inte låta bli att tänka på denna

https://www.youtube.com/watch?v=jay6g9ibTDg

Trädvy Permalänk
Medlem
Plats
Sthlm
Registrerad
Mar 2011
Skrivet av improwise:

Väldigt OT men kunde inte låta bli att tänka på denna

https://www.youtube.com/watch?v=jay6g9ibTDg

Vet inte om det är en indirekt typ av förolämpning, men klippet var dock roligt

|Define XL | AX850W | P8P67 EVO | 2600K | NH-C14 | GTX 980 | Vengeance 2x4GB | 520 240 GB + VelociRaptor 160gb+ F1 1TB + Green 2TB + 2xWD Black 4TB | ROG SWIFT PG279Q | Essence STX | DT880 PRO @ 250 ohm + Modmic V4| MK-85 Pro (Brown)|5K Laser|

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av Mithras:

Vet inte om det är en indirekt typ av förolämpning, men klippet var dock roligt

Fanns nog ingen större eftertanke alls med det mer än att jag kom att tänka på det. Jobbar för övrigt själv på bank (eller åt ett kreditmarknadsbolag om man ska vara helt korrekt)

GDPR ja, där kan vi snacka mycket ångest. Vissa verkar anse att det inte är så farligt medans andra är helt uppe i varv och inte verkar ha sovit på flera veckor. Försökte själv läsa GDPR dokumentet för några månader sedan men gav upp redan efter några sidor som mer påminde om något som Thomas Di Leva kunde skrivit

Edit:
GDPR och dess svallvågor får mig även att tänka på den klassiska "Vad är det för skillnad på en metodguru och en terrorist?" gåtan, nån här kan förmodligen svaret

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jul 2004

Skitjobbigt. Och bara man kan lite om datorer/IT tror alla man är nån expert och så blir man plötsligt ansvarig för flera delmoment/program. Kul!

[Intel 6700K @ 4500MHz]--[MSI Core Frozr L]--[MSI Z170 Gaming M5]--[Corsair 16GB 2666MHz DDR4]--[MSI 1080Ti Gaming X @ 2038/12006MHz]--[EVGA Supernova G2 850W]--[Fractal Design Define S]--[Windows 10 x64]--[Acer X34A]--[Corsair Strafe RGB MX Silent]--[Mionix Naos 7000]--[HyperX Cloud II]--[Creative Gigaworks T20]

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Okt 2005

För oss har det handlat mycket om långa möten där vi kammar igenom alla tjänster vi levererar till varje kund, vilka system som används i den leveransen, vilka eventuella beroenden som finns i de systemen, och slutligen huruvida varje system lagrar eller hanterar personlig information. Vi har inga större bekymmer med compliance, än så länge ser vi inte att det behövs några tekniska ändringar. Men inventeringen och dokumentationsarbetet driver en hel del timmar. Förhoppningen från min sida är att informationen blir en bilaga till våra tjänstebeskrivningar och kan återanvändas i framtida kundetableringar så man har koll från början.

CPU: AMD Ryzen 7 1700X + Corsair H110i GT MB: ASUS PRIME X370-PRO Grafik: ASUS STRIX 1070 Ti A8G RAM: Corsair LPX 2x8GB 3000 MHz SSD: Samsung 960 EVO 500GB PSU: Corsair RM850x NAS: Synology DS212j HMD: Oculus Rift CV1 + Touch

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Sep 2012

Ett hyggligt verktyg finns hos SKL: https://klassa-info.skl.se/

Trädvy Permalänk
Medlem
Plats
Solna
Registrerad
Aug 2005

Mycket jobb med detta hos kunder just nu.

Detta är våran lösning/produkt.
http://www.shieldfc.com/

Ryzen 2700X - Asus X370 Prime - 32gb 2666mhz - 1080TI - 960 Evo 1tb
Asus Strix GL502VM - i7 7700HQ - 24 gb - GTX 1060 6gb - 512gb M.2
Lenovo Thinkpad 440p - i7 4710MQ - 16gb - GTX730m - 256gb SSD

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2002

Största problemet för de flesta företag lär bli hur man ska hantera rätten att bli bortglömd när man har backups på all data.

Trädvy Permalänk
Medlem
Registrerad
Jan 2011

Övergångsperioden som upphör 25 maj 2018 är för företag och myndigheter som redan har en pågående verksamhet som hanterar personuppgifter?

Så när ett nytt företag bildas så kan man designa det så att det uppfyller GDPR så gott som det går?

I mitt fall kommer det att vara en medlemssajt och jag kommer ju bara spara personuppgifter (krypterade såklart) som behövs för att de ska kunna logga in (SQL-databas?) och för att betalningen skall ske automatiskt (någon databas med krypterade data som ansluter till en betalningsportal som i sin tur få stå för hanteringen av deras kortuppgifter?).

Hur fungerar det med personuppgifter som sparas i fysiska format? T.ex. att jag får en ny medlem på sajten och så skriver jag ut personuppgifter som styrker om personen är privatperson eller företag, svensk eller utländsk, är inom EU eller utanför EU: sådan info som behövs för korrekt bokföring och beskattning. Sedan raderar jag de digitala uppgifterna för det har jag ingen nytta av ändå. Å andra sidan är frågan hur det blir med backups om det finns krav på sådant.

Blir man tvungen att investera i exempel något slags brand- & explosionssäkert kassaskåp med kodlås och placera personuppgifterna där som bara finns där som verifikat för bokföringen av kunder så SKV inte gnäller om att de inte vet om kunden är privatperson eller företag och hela biten med moms?

Mycket intressant att höra från andra! En av mina päron arbetar som chef och har konsulterat med IT-snubbar så päronet berättade GDPR för mig och varnade mig för dryga böter om man inte gör rätt från början så därför jag posta här för det är främst ju en teknisk bit.

EDIT: Tack Sweclockers för att det hamnade på startsidan!

Min Überkill Dator: Processor: Intel Pentium P5 66 Mhz OC | Moderkort: ASRock P4I65G | Minnen: 2st Samsung 128MB PC133 | Grafikkort: Canopus GeForce 256 DDR | Lagring: IBM 350 4,4 MB | Operativsystem: DOS/360 | Chassi: Mercury Full-Tower ATX Chassis |

Trädvy Permalänk
Medlem
Registrerad
Jul 2015
Skrivet av AplAy:

Övergångsperioden som upphör 25 maj 2018 är för företag och myndigheter som redan har en pågående verksamhet som hanterar personuppgifter?

Så när ett nytt företag bildas så kan man designa det så att det uppfyller GDPR så gott som det går?

I mitt fall kommer det att vara en medlemssajt och jag kommer ju bara spara personuppgifter (krypterade såklart) som behövs för att de ska kunna logga in (SQL-databas?) och för att betalningen skall ske automatiskt (någon databas med krypterade data som ansluter till en betalningsportal som i sin tur få stå för hanteringen av deras kortuppgifter?).

Hur fungerar det med personuppgifter som sparas i fysiska format? T.ex. att jag får en ny medlem på sajten och så skriver jag ut personuppgifter som styrker om personen är privatperson eller företag, svensk eller utländsk, är inom EU eller utanför EU: sådan info som behövs för korrekt bokföring och beskattning. Sedan raderar jag de digitala uppgifterna för det har jag ingen nytta av ändå. Å andra sidan är frågan hur det blir med backups om det finns krav på sådant.

Blir man tvungen att investera i exempel något slags brand- & explosionssäkert kassaskåp med kodlås och placera personuppgifterna där som bara finns där som verifikat för bokföringen av kunder så SKV inte gnäller om att de inte vet om kunden är privatperson eller företag och hela biten med moms?

Mycket intressant att höra från andra! En av mina päron arbetar som chef och har konsulterat med IT-snubbar så päronet berättade GDPR för mig och varnade mig för dryga böter om man inte gör rätt från början så därför jag posta här för det är främst ju en teknisk bit.

EDIT: Tack Sweclockers för att det hamnade på startsidan!

Kanske går att ha någon databas som refererar till den fysiska datan (med unika ID'n), så då man ska ta bort en användare/kund kan man få fram vilka papper (baserat på det unika ID't) som ska rivas sönder.

Någon annan kanske har en bättre ide

"Oh glorious cheeseburger… we bow to thee. The secrets of the universe are between the buns..."
"All my farts come straight from hell, you're already dead if you notice a smell"

Trädvy Permalänk
Medlem
Registrerad
Jan 2011
Skrivet av wowsers:

Kanske går att ha någon databas som refererar till den fysiska datan (med unika ID'n), så då man ska ta bort en användare/kund kan man få fram vilka papper (baserat på det unika ID't) som ska rivas sönder.

Någon annan kanske har en bättre ide

Ja, det låter som en bra början på att anonymisera kunder. Ett Customer ID kan skapas vid registreringen. Eftersom personuppgifter kan vara sådant som identifierar en person, så funderar jag även om man ska tvinga folk att använda "username" och inte sina riktiga namn vid registrering.

På längre sikt har jag tänkt att även rikta min medlemssajt mot skolor (en skola som låter elever logga in med samma username och pw) och då kanske skolan inte vill ha vilket username som helst så tillvida inte det är helt slumpgenererat som inte kan väcka anstöt och som anonymiserar skolan samtidigt som kund.

Min Überkill Dator: Processor: Intel Pentium P5 66 Mhz OC | Moderkort: ASRock P4I65G | Minnen: 2st Samsung 128MB PC133 | Grafikkort: Canopus GeForce 256 DDR | Lagring: IBM 350 4,4 MB | Operativsystem: DOS/360 | Chassi: Mercury Full-Tower ATX Chassis |

Trädvy Permalänk
Medlem
Plats
Linköping
Registrerad
Jun 2004

För mig som jobbar på kundtjänst är skillnaden att vi inte kan hjälpa folk att bli medlemmar i kundklubben över telefon. De behöver ansluta sig själva på hemsidan.

Skickades från m.sweclockers.com

Dreamcast is forever. Shenmue lives!

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2005
Skrivet av improwise:

Edit:
GDPR och dess svallvågor får mig även att tänka på den klassiska "Vad är det för skillnad på en metodguru och en terrorist?" gåtan, nån här kan förmodligen svaret

Vad är en metodguru?

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Norrköping
Registrerad
Jul 2006

Vi byter ut hela systemet.

Jag är en av utvecklarna som arbetar på det nya systemet. Har migrerat och krypterat skiten ur en massa personuppgifter. Blir galen på det hela.

R5-1600X, GA-AB-350M-G3, 16GB DDR4 @ 2666, RX580 8GB, Corsair CX650M Rev2

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Nov 2009
Skrivet av Mithras:

Jobbar på en bank med föråldrat system så du kan ge dig fan på att det har påverkat oss. Vi driver projekt bara för att bli compliant.....

Detta, och utöver det så behövs det resurser för att se till att allt är rätt tolkat etc.

Gaming: ASUS GTX 1080ti STRIX O11G | Intel Core i7-8700K @ 5 GHz | ASUS Z370-F | EVGA G3 650W | 16 GB Corsair DDR4 @ 3000 MHz | Samsung SSD 960 EVO 250GB m.2 | Samsung 850 EVO 250GB m.2
Kringutrustning: ASUS MG248Q 24" 144 Hz | 2x ASUS VN247H 23,6" LED | Sennheiser HD598 | Audio Technica AT2020 USB+

Trädvy Permalänk
Medlem
Plats
Umeå
Registrerad
Dec 2007

Hos oss (bank) tas förenklad inloggning bort (PIN, 4 siffror) och vi kör framöver enbart med säkerhetsdosa/bank-id.