Privacy by
design ur ett Mercur-perspektiv
En av de grundläggande principerna inom integritetsskydd
är så kallad uppgiftsminimering. Organisationen ska vidare vidta lämpliga
tekniska och organisatoriska åtgärder för att uppfylla kraven i
dataskyddsförordningen. Vad som är ”lämpliga åtgärder” styrs av uppgiftens art,
behandlingens omfattning och syfte samt den risk som individen utsätts för vid
behandlingen.
I dataskyddsförordningen uppställs nu ett uttryckligt krav på ”privacy by
design” eller ”inbyggt dataskydd” vilket innebär att organisationen redan vid
upphandlingen av ett IT-system eller vid ändring av befintligt IT-system ska ta
hänsyn till integritetsskyddet och bygga in funktioner som stödjer detsamma.
Mercur Buisness Control 8 är utvecklat med detta i åtanke
och en av grundprinciperna är privacy by design. De funktioner som hjälper Er
att följa dataskydsförordningen är till exempel:
Behörighetsstyrning
I Mercur kan man strikt styra behörigheter så att
användarna endast har åtkomst till data de fått behörighet till.
Anpassningsbarhet
Mercur Business Control kan anpassas så att de följer era
definerade riktlinjer och arbetssätt, vilket möjligör en flexiblitet kring hur Ni
arbetar med dataskydsförordningen.
Loggning
och spårbarhet
Alla viktigare händelser i systemet loggas i en så kallad händelselogg vilket ger spårbarhet. De systemhändelser som loggas är:
Av- och påloggningar
Tabelluppdateringar Exempelvis när en rapportmall eller en behörighetsinställning sparats.
Fel
Datauppdateringar När användaren sparat data i en blankett eller när andra förändringar av en databas gjorts.
Importer och exporter Körningar av dataflöden.
Filuppdateringar Exempelvis när en bildfil uppdaterats.
Rapportaccess Varje gång en rapport öppnas av en användare.
Systemhändelser Exempelvis när systemperioden uppdaterats eller när ett batchjobb körts.
Kryptering
Mercur Business Control innebär datahantering med hög säkerhet och ett av exemplen på detta är
kryptering. All kommunikation till och från ett Mercur- system är krypterat. Vi
har även tagit steget att kryptera våra backuper och kommunikation mellan olika
Mercur-system.
Rätten till sina personuppgifter - dataportabilitet
Den registrerade har rätt att få ut sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format. Detta säkerställs i Mercur med rapporter, saldofrågor, exportfunktioner och loggutskrifter. Mercur Business Control kan exportera data via ODBC/JDBC, vilket möjligör enkel export av data och det går även att exportera till csv, pdf eller text filer.
Rätten att bli glömd - möjlighet att söka och radera data
Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade Detta säkerställs i Mercur med systemdesign som medger enkel spårbarhet samt funktioner för dataunderhåll (radera poster) Ni kan själva eller med hjälp av Mercurs konsulter hitta specifika personuppgifter och radera eller anonymisera dessa.