Recension av verktyg för GDPR

Många i Sverige och EU har nu börjat komma igång med sina anpassningar inför GDPR. Ofta så görs det i projektform. I arbetet med att bygga upp en medvetenhet kring dataskyddet är det många som vänder sig till verktygsmarknaden för att få guidning och hjälp i sitt arbete med anpassning.

I denna artikel försöker vi göra en översyn av de olika alternativ som finns, titta lite på de olika tillverkarna som tillhandahåller produkter samt olika argument till hur man skall tänka om kring om man skall ha ett verktyg eller inte.

För att börja kunna jämföra verktygen så måste man gruppera grovt de olika funktionalitet som de tillhandahåller, i denna artikel har gjort indelningen i följande kategorier

  • Inventering av register, data mapping
  • DPIA, riskanalyser utifrån dataskydd
  • Utvärdering av sitt dataskyddsarbete
  • Rapporteringsmöjligheter, internt och externt mot myndigheter,
  • Övrig funktionalitet

Inventering av register. En av de mer handfasta aktiviteterna som ingår i GDPR anpassningen är inventeringen av registren. Alla mjukvaror som finns på marknaden har oftast denna funktionalitet som grund.

Data Privacy Impact Assessment, DPIA Riskhantering utifrån privacy är även en funktionalitet som ingår i många programvaror, detta är hjälp i utvecklingssteget för organisationer att utvärdera om risker finns som måste hanteras, vilket är ett krav i GDPR.

Utvärdering Utvärdering eller GDPR-readiness, olika sätt att utvärdera och mäta en organisations gap mot gällande lagstiftning. Ofta ett första steg i anpassningen mot GDPR, men bör vara ett löpande jobb att hela tiden veta vart man står.

Övrig funktionalitet I många av verktygen finns mycket funktionalitet som inte tas upp av dessa kategorier, men som vi försöker diskutera i denna rubrik. Samtliga programvaror som vi har tittat på har en snabb utvecklingstakt och mycket händer snabbt inom dessa verktyg.

Ingående produkter

Det finns otroligt många verktyg på marknaden. Iapp (International association for Privacy professionals) har sammanställt en rapport med över 70 verktyg på den internationella marknaden (2017 Privacy Tech Vendor Report) som kan vara intressant att sätta sig in i.

I Sverige så finns det ett antal aktörer som frekvent nämns i dessa sammanhang. De aktörer som vi har valt att titta på i denna jämförelse är GDPR Hero, Draftit, DPOrganizer och Onetrust. Vi har fått tillgång till ett demokonto på samtliga produkter och har haft en genomgång med deras representanter för en demo på produkten. Samtliga tillverkare har även faktagranskat artikeln för att ta bort faktafel kring deras produkter.

Det finns ett antal leverantörer på marknaden. I denna artikel har vi tagit med 4 tillverkare. Vi kommer att uppdatera artikeln löpande för att hålla den aktuell för den svenska marknaden och addera ytterligare tillverkare. Lägg gärna en kommentar i slutet av artikel med information om ytterligare tillverkare eller funktioner som vi inte har hanterat.

Allmänt

Samtliga produkter som vi testat är till för att hjälpa dig som DPO att kunna fullgöra din uppgift. Samtliga produkter innehåller en funktion för att mappa sina register mot kommande lagar som du kan visa upp internt och externt. Produkterna skiljer dock i mognad och vilka ytterligare hjälpmedel man erbjuds.

Samtliga lösingar är SaaS (Software as a Service), webbtjänster. Onetrust skiljer sig från mängden genom att erbjuda On Premise hosting om man behöver detta. Samtliga produkter hostas inom EU. Draftit och GdprHero hostas inom Sveriges gränser.

Likvärdigt för samtliga produkter är att det pågår intensiv utveckling av ny funktionalitet, där Gdpr Hero är den nyaste på marknaden och OneTrust har funnits längst och upplevs ha de mest mogna funktionerna.

Alla produkter har en prenumerationsmodell med en månadskostnad som skiljer sig från 390 kronor i månaden upp mot 50-70.000 kronor beroende på organisationens storlek och vilka funktioner man har med i prenumerationen. Samtliga produkter går att få fullständiga trials för utvärdering. I Onetrust finns en gratisversion (med vissa begränsningar) om man är Iapp medlem och Gdpr Hero erbjuder organisationer med 90-konton gratis produkter.

Det vanliga normala sättet är att logga in med lösenord, Onetrust har möjlighet att koppla på SSO (Single Sign On)

Onetrust utmärker sig med att ha många integrationsmöjligheter mot andra system. Där finns befintliga möjligheter att koppla sig mot Service Managementsviter, CMDB, mm. Vilket i dagsläget de har kommit längst med av dessa produkter.

Inventering av register.

I samtliga produkter registrerar man personuppgifter i kategorier. Vilka kategorier man registrerar är upp till användaren, men i Onetrust och DpOrganizer erbjuds man en initial konfiguration där man sätter upp Standardkategorier och samtyckeskriterier.

Samtliga system innehåller frågor för att kategorierna personuppgifterna så att man uppnår kraven för GDPR.

Systemen har även beskrivande hjälptexter som refererar till gällande lagrum. Draftit har den mest detaljerade guidningen av användaren när man skall fylla i sitt register. Draftit och GdprHero har båda tydliga funktioner för att fråga jurister under tiden man registrerar sina register.

Draftits mall är i standardutförande mycket informativ och behöver anpassas till de flesta organisationer, vilket dock är enkelt.

Tidigare fanns Onetrust bara på engelska, men har lanserats på svenska i nyligen.

En bra funktion som finns i samtliga system är att skicka ut inbjudningar till olika parter om att ett register skall uppdateras eller fyllas i. Detta underlättar arbetet avsevärt och möjliggör att man kan distribuera arbetet med registerförteckningen avsevärt.

Data Privacy Impact Assessment, DPIA Den enda produkt som stödjer (D)PIA i nuvarande release är Onetrust. Enligt GDPR krävs en analys då man utvecklar funktioner med hög risk. I verktyget finns även en mall där man kan enkelt kan svara på ett enklare frågebatteri som automatiskt visar på om den detaljerade analysen måste utföras. Denna kan integreras mot befintliga utvecklingssystem som tex Jira.

Utvärdering/compliance Draftit och Onetrust erbjuder funktionalitet för att utvärdera om man är GDPR redo. Onetrust har ett frågebatteri som svarar mot artiklarna i GDPR. I slutet fås en compliance rapport som kan skickas in till frågande myndigheter eller användas internt.

Draftits komponent har samma funktionalitet, men erbjuder även en benchmark mot sina övriga kunder som har draftit och juridisk rådgivning kopplat till resultatet.

Övrig funktionalitet Bland dessa verktyg har OneTrust ytterligare ett antal verktyg som kan kopplas till paletten som DPO kan använda. Bland dem kan nämnas. Verktyg för att skanna av Cookies, Portal för att registerförteckninsfrågor, samtyckeshantering, riskhantering av leverantörer, incidenthantering. Dock har vi inte haft demo på dessa delar inför denna artikeln.

 

Slutsats

Efter att ha gjort en genomgång av samtliga produkter och haft demos på dessa så finns det skillnader mellan produkterna som prisbild och bredden på funktionerna. Där GDPR Hero kommer in som det billigaste verktyget med huvudsakligt fokus på registerhanteringen, dock ser man I verktygets roadmap en stark breddning av funktionalitet i närtid av funktionlalitet som behövs inom området.

Det verktyg som är mest moget och med mest funktioner är OneTrust. Det verktyget var vid demotillfället på engelska, men svensk översättning pågår. Det känns att verktyget är anpassat för större organisationer med en genomtänkt filosofi kring integrationer med andra verktyg, SSO (inloggning) och helhet av funktioner som de erbjuder.

DpOrganizer hamnar i mitten med ett relativt nyutvecklat verktyg som har en expansiv roadmap. Fokus på verktyget är registerhanteringen, men man utvecklar fler funktioner att hjälpa dataskyddsombudet

Draftit har en bred funktionalitet och med en grund i svenska anpassningar och frågeställningar, verktyget erbjuds även enligt engelska och norska förutsättningar. De erbjuder svar på många av de frågor som man ställs inför som Dataskyddsombud och en bra grund till att arbeta med dataskydd i framtiden.

Är du en stor organisation med behov av att integrera verktyget med dina övriga system, så skulle jag välja OneTrust. Om man fokuserar på ett komplett verktyg med svenska förhållanden är valet mellan Draftit eller OneTrust när de lanserar sig på svenska. DpOrganizer har en intressant produkt och en väl fungerande registerhanteringslösning, men har i dagsläget inte helheten som de övriga har. GDPRHero är utmanaren med ett billigare pris som kan växa sig stark i framtiden.

Då prismodellerna varierar mellan produkterna och visa är storleksbaserade och andra är per bolag så jag jag sammanställt översitkligt I tabellen nedan deras modeller, hur det slår i era organisationer beror på storlek och vilke moduler som ni väljer.

Hoppas att sammanställningen har varit till nytta. Tveka inte att kontakta mig på mail eller på linkedIn om ni vill komma i kontakt med mig eller har några frågor.

Fredrik Jonasson 2017-09-29

 

Presentation av ingående verktyg

Här kommer en kort presentation av produkterna. Texten har tagits från respektive hemsida och formaterats för att passa in i texten.

GDPR Hero

GDPR Hero hjälper er att följa den nya lagen.

Med det webbaserade verktyget minimerar ni era konsultkostnader och undviker de kostsamma misstag som kan uppstå för att ni bombarderas av ofullständig och ibland motsägelsefull information.

Med GDPR Hero får ni överblick över vilka personuppgifter ni hanterar och underlag för att bestämma vilka uppgifter ni vill behålla. Ni får hjälp i tydliga steg med checklistor, standardavtal och nyhetsbevakning. Men framför allt samlar vi all er hantering på samma ställe. På så sätt hanterar ni era personuppgifter i rätt syfte, under ansvar av rätt personer och enligt rätt lag.

Draftit

Draftit Dataskydd är en virtuell expert som förenklar vardagen för de som axlar det viktiga dataskyddsansvaret. Med interaktiva juridiska handböcker, dokument, frågeservice och processer är du förberedd och får stöd i ditt arbete. Lösningen är anpassad så att även du som har begränsat med tid ska kunna få en tydlig överblick, hålla dig uppdaterad och kunna handla korrekt enligt dataskyddslagstiftningen.

Evaluation, Oavsett om du precis ska börja med ditt dataskyddsarbete eller om du etablerat en hantering, så behöver du utvärdera ditt arbete löpande. Med vår produkt Draftit Evaluation får du ett verktyg som hjälper dig att skapa en överblick över ditt dataskyddsarbete. Du får även relevanta åtgärdsförslag baserat på utvärderingen.

Förteckning är ett verktyg för att kartlägga, registrera och administrera era behandlingar av personuppgifter i en så kallad registerförteckning. Slipp osäkerheten med en förteckning som står ouppdaterad i gamla dammiga pärmar i källaren. Med Draftit Förteckning samlar du allt på ett säkert ställe i digital form. När Datainspektionen knackar på dörren så har du din detaljerade förteckning över alla register endast ett knapptryck bort.

Produkten är byggd med enkelhet och tidsbesparing i åtanke. Tanken är att du ska känna dig hemma i produkten oavsett om du ska sätta upp din första förteckning eller om du är en erfaren dataskyddsexpert.

DPOOrganizer

Get a complete overview

The first step is to create a detailed mapping and overview of your processing of personal data. You will find an intuitive input process, where relevant questions and help sections guide you through the different stages.

The mapping follows the requirements of GDPR. We cover questions like purpose and legal basis of processing, data processors and their instructions, data controllers and their responsibilities, storage, accessibility and retention time of personal data.

Relevant documentation, such as privacy policies, processing agreements and privacy impact assessments, can be uploaded/linked to from our software.

Report & Visualize, Three robust features provide ways in which to display your data. These are highly useful for internal use, such as presenting to a management team, a board of directors, for staff training or in case of inquiries from supervisory authorities.

Create extensive and custom-made reports with DP Report in PDF or Excel. Learn more about DP Report.

DP Map shows of a world map with easy-to-understand of how all your information is interconnected. A simple way to get a bird’s eye view of your overall business, or to zoom in on a specific part of it. Learn more about DP Map.

DP Structure provides a technical deep-dive, giving an overview of how personal data is stored and made accessible. With a few clicks you can find details about i.e. retention time and database ownership. Learn more about DP Structure.

Automate your work with DP Manager

DP Manager is the feature that supports your business in the long-term to ensure your mapping is up-to-date and automated. With DP Manager, future reviews are scheduled and automatically initiated. It also simplifies how you involve stakeholders in different parts of the organisation.

Create and schedule reviews of your personal data processings, and assign them to those responsible in the organization. They will be notified by email and can perform the assigned review. After having reviewed and submitted their response, you can review the results and upload any accepted changes to the actual account.

DP Manager helps a DPO make the complex work of adhering to GDPR, much easier.

Onetrust

 

Comprehensive Enterprise Privacy Management Software to Operationalize GDPR Compliance and Privacy by Design

Readiness & Accountability Tool, Benchmark organizational readiness with questionnaires, prioritize requirements for compliance, and provide executive-level visibility with detailed reports.

PIA & DPIA Automation, Customize and distribute business-friendly questionnaires, review gaps, track mitigating activities, and generate the appropriate record keeping reports.

Data Mapping Automation, Leverage scanning and questionnaire workflows to generate and maintain an evergreen data inventory with visual cross border data flow maps.

Website Scanning & Cookie Compliance, Scan websites continuously against a database of 5.5M cookies, and easily manage visitor consent and preferences with banner and policy generator.

Subject Access Request Portal, Capture data subject requests directly within a web form linked on your privacy policy, and maintain records of fulfilling requests based on regulation specific requirements.

Consent Management, Track granular transactions of consent, provide access to data subjects to allow withdrawal of consent, and maintain internal records to respond to regulatory inquiries.

Vendor Risk Management, Maintain a central inventory of vendors, data transfers and legal and contractual obligations with ability to continually audit for vendor security and risk evaluations.

Incident & Breach Management, Maintain incident and breach records, evaluate against notification requirements, and analyze overall risk with connections to underlying data inventory.

By | 2017-10-02T15:58:33+00:00 september 29th, 2017|Categories: Uncategorized|0 Comments

About the Author:

Fredrik Jonasson är delägare i IT-säkerhetsbolaget och föreläser och utbildar kring GDPR.

Leave A Comment