Ett strukturerat sätt att samla data, tydliga definitioner om vilka roller det finns ett GDPR-ekosystem och en glasklar ansvarsfördelning för vem som ansvarar för personuppgifterna på olika nivåer. Det är IoT-specialisten Mats Petterssons råd för att säkra på de stora mängder personuppgifter som skapas i ett allt mer digitaliserat samhälle.
Mats Pettersson är VD och grundare för Sensative, ettföretag som jobbar med IoT-teknik för smarta städer, fastigheter, hem och trafik. Sensative är också med i både GDPR-projektet och i ett stort digitaliserings projekt rörande IoT med Future by Lund. Genom användningen avIoT, uppkopplade prylar som skickar data i ett nätverk, skapas stora datamängder som också kan användas för att skapa tjänster. Det som Sensative bland annat gör är en dataplattform, Yggio, som kan användas i fastigheter, stad, industrier och sjukvård – och som dessutom kan nyttjas för att koppla ihop alla dessa miljöer. Eftersom data som kan vara personuppgifter samlas in i olika miljöer, till exempel i en lägenhet, sedan kan kopplas ihop till att bli uppgifter om en fastighet eller om en stad gäller det för Sensative att ha en bra plan för att säkerställa att personuppgifterna säkras och hanteras lagenligt på många olika nivåer. ‑ På Sensative började vi utveckla vår tekniska lösning innan GDPR infördes men ändå var rätt känt, vilket var en fördel för oss, menar Mats Pettersson. Vi ser till att hantera dataflöden enligt GDPR från start.Skötsel av fastigheter kan vara ett exempel som visar vadman ska tänka på i samband med GDPR. I samma fastighet kan finnas flera leverantörer av tjänster. När tjänsterna ska effektiveras genom digitalisering kan antingen fastighetsägaren låta leverantörerna dela de insamlade uppgifterna mellan sig, ta in en helt ny tjänsteleverantör som gör allt eller använda sig av ett tredje alternativ som kan sägas vara ett mellanting. Det är den tredje typen av lösning som Sensative står för, och deras plattform Yggio stoppas in mellan tekniken som samlar data och tjänsteleverantören. Sensative vill i sin tjänst skapa en delningsekonomi där många kan använda uppgifter om fastigheten– men för att det ska gå krävs såklart noggrant uttänkta strategier.
Några exempel på hur Sensative har strukturerat arbetet.
Vid import och export av data har alla leverantörer ansvar för sin egen data. När uppgifterna går över till en ny nivå är det den som sammanför uppgifterna i ett nytt sammanhang som har ansvaret för att GDPR efterlevs. Den sammankopplade uppgifterna skulle ju kunna upphov till nya personuppgifter, trots att de är ok på nivån innan. GDPR innebär nya roller på företaget, som personuppgiftsansvarig, personuppgiftsbiträde och dataskyddsombud. Det gäller att fundera över hur rollerna är väsentliga på företaget – men också vem som ska hantera uppgifterna när de kopplas ihop med data från andra parter. Sensative har i sin plattform byggt in en lösning för vem som ansvarar för vad. De insamlade uppgifterna har två sidor – å ena sidan är de information som man kan tjäna pengar på, å andra sidan är de en kostnad för att lagra och säkra upp. Det gäller att inte lagra data slentrianmässigt utan man ska lagra data där risken är liten ut GDPR-synpunkt och där nyttan kan vara stor. Fundera på vem som är vem. Vem är producent av data - det är den grundläggande ägaren. Vem är det som är konsumenten, den som vill använda uppgifterna till sin tjänst? En plattform som Yggio är som en mäklare som märker upp vem som äger och förvarar data.
Bästa råden till startupen som ska jobba med digitalisering
Fundera på och ta ett affärsmässigt beslut på varje data som ska sparas och skickas vidare. Se till att ha ett godkännande av dataproducenten för detta. Var väldigt tydligt i kommunikationen med producenten hur uppgifterna används och hur producenten själv kan styra hur uppgifterna kan användas. Ha ett bra tänk och fungerande system för hur data ska sparas. Det blir lätt slentrianmässigt. Tänk också på om och hur uppgifterna ska sparas i framtiden, till exempel om en fastighet byter ägare. Data har alltid två sidor – det kan vara en intäkt men är alltid en kostnad. Tänk på vad du behöver och varför. Tänk på hur uppgifterna kan användas om de kopplas med andra datamängder. Hitta din roll i ett GDPR-ekosystemet. Är du producent, konsument eller mäklare? Om man är osäker på om man har rätt att hantera uppgifterna är det bättre att säkra upp och ha ett tydligt avtal med dataägaren att det är ok att använda dess data.
