Hantering av känslig information och personuppgifter
GDPR har under det senaste året satt stort fokus på hantering av information och personuppgifter. Riskerna har också uppmärksammats med all tydlighet, hur okunskap och dålig koll kan leda till att personer utan behörighet får tillgång till känsliga och sekretessbelagda uppgifter. Dagens informationssamhälle har på många sätt gjort flödet av information mer lätthanterligt. Men det har därmed också blivit allt viktigare att ha koll på den information verksamheten hanterar.
Peter Junermark driver det egna företaget Junermark Didaktik & Design och har lång erfarenhet som utbildare och expert inom verksamhetsanalys och systemutveckling. Han konstaterar att många verksamheter skulle ha mycket att vinna på att ta fram en informationsmodell för verksamheten.
– Det är ett stort jobb att göra den kartläggningen, men du får en samlad bild av den information du hanterar. Den stora fördelen är att du har en modell kan användas i alla sammanhang oavsett om det handlar om GDPR, processkartläggning eller ett nytt it-stöd.
Mer inom området
Kartlägg hur information används
En informationsmodell är alltså ett verktyg som ger dig kunskap om informationen. Den visar vilken typ av information du hanterar, hur olika typer av information hänger ihop och är beroende av varandra. I kombination med en processmodell kan du även åskådliggöra var och hur informationen används i verksamheten.
– Dessutom kan du tagga information som är känslig och skapa regler för hur du hanterar den.
Det finns inte ett givet utseende på hur en informationsmodell ska se ut – det är behoven som styr vilken information som man väljer att ta med och med hur mycket detaljer. Det är lätt att vara överambitiös och konsekvensen blir sedan att man har ett dokument som är väldigt underhållskrävande.
– Tänk igenom vilka behov du har innan du börjar. Tänk också på att strukturera informationen så att den blir lättillgänglig för målgruppen, tipsar Peter Junermark.
Underlag för vilken information som kan tas bort
Även i verksamheter som inte hanterar hemligstämplad information är en informationsmodell till stor nytta, framför allt för att ha koll på vilka uppgifter man hanterar. Med en informationsmodell skapar du förutsättningarna för att förbättra datakvaliteten.
En organisation som exempelvis ska arrangera ett läger för unga behöver samla in uppgifter om personnummer, allergier, sjukdomar och annan känslig information. Det är viktig information för lägret, men när lägret är över kan den typen av uppgifter plockas bort. En informationsmodell blir på så vis ett underlag för att ta fram ett system där vissa uppgifter försvinner efter ett visst datum.
Många verksamheter jobbar redan med informationsmodeller, men Peter Junermark konstaterar att de ofta görs i samband med it-projekt. Nackdelen är att de då görs utifrån it-projektets perspektiv. Han menar att det borde ligga i verksamhetens intresse att ta fram och äga det materialet.
– Om informationsmodellen görs utifrån verksamhetens perspektiv blir det ett bra underlag som kan användas i många olika sammanhang. Det blir källan för informationshanteringen. Samma modell, med samma information, oavsett syftet med projektet.
Så skapar du en informationsmodell
-
•
Inventera
Börja med att inventera vilken information som hanteras i verksamheten.
-
•
Strukturera
Skapa en modell över hur informationen hänger ihop. Till exempel, en kund lägger en order som avser en produkt. Med modellen får du en bra överblick över vilken information som hanteras och vilka kopplingar som finns.
-
•
Beskriv
Den översiktliga bilden kompletteras med mer detaljerad information om vilka egenskaper informationen har. En kund kan exempelvis innehålla information om adress, personnummer, kundnummer och en produkt kan i sin tur innehålla uppgifter om priser, rabatter och avtal.
-
•
Klassificera och skapa regler
Ge information olika taggningar beroende på vad som är relevant för verksamheten. Genom att tagga informationen kan man därefter skapa olika säkerhetsklasser och regelverk för hur dessa ska
Utbildning inom området
