Visma & GDPR – så jobbar vi med Dataskyddsförordningen

Lagar & regler > Visma & GDPR

Om man är stor, måste man vara...förberedd

Visma Spcs ingår i Vismakoncernen som består av ett 70-tal olika företag, huvudsakligen i norra Europa. De flesta verkar inom marknaden för ekonomirelaterad mjukvara för verksamheter. Att vara del av en koncern, ställer så klart stora krav. Bland annat på framförhållning.

Arbetat med GDPR sedan 2015

Redan 2015 tillsatte koncernledningen ett GDPR-projekt med syftet att utveckla en struktur så att hela koncernen kan vara anpassad till Dataskyddsförordningen när lagen träder i kraft. Projektet bestod då av 5 personer, däribland en expert från Visma Spcs som representant för SMB-marknaden, inklusive revisions- och redovisningsbyråer.

Vad har vi gjort hittills?

 Tagit fram policies & riktlinjer 
Policy och olika riktlinjer togs fram tidigt som styrande dokument för hela verksamheten. Vi strukturerade även upp vår GDPR-organisation.

Vismas GDPR-organisation

 Tillsatt Data Protection Manager i varje företag 
Varje företag har en roll som heter Data Protection Manager (DPM). Denna person har fått utbildning och tid för att stödja integritetsarbetet i just sitt företag. Vissa företag, där man bara behandlar personuppgifter i liten omfattning, kan dela på en DPM.

 Tillsatt Division Data Protection Manager i varje division
Varje division har en Divisions-DPM (DDPM) som samordnar och assisterar.
Dessa personer ingår i tillsammans med centrala representanter för HR och marknad i ett råd, Data Protection Council (DPC). Rådet ansvarar för omvärldsbevakning inom området och för att organisationen hålls utbildad. Man ansvarar också för den internationella överblicken och samordningen.

 Tillsatt Corporate Data Protection Manager 
Rådet leds av en ansvarig för integritetsfrågor inom hela koncernen, Corporate Data Protection Manager (CDPM).
Denna person rapporterar till VD och styrelse.

 Tillsatt Data Protection Officer
En ny roll i GDPR är Dataskyddsombud (Data Protection Officer, DPO)
Vismakoncernen har tillsatt en jurist som central DPO.

 Tecknat back to back-avtal 
Alla företag i Vismakoncernen har tecknat Personuppgiftsbiträdesavtal med varandra, så kallade back to back-avtal. På så sätt är data skyddat inom hela koncernen vid delning, både när Visma är Personuppgiftsansvarig och när man är Personuppgiftsbiträde.
Arbetet med att se över och uppdatera avtal där det behövs ska vara slutfört i samtliga företag i Vismakoncernen senast 24 maj 2018. Detta gäller avtal med kunder, leverantörer, partners och andra externa parter.

 Utbildat 6 500 anställda
Under hösten 2017 startade en obligatorisk e-utbildning som alla koncernens cirka 6 500 anställda ska genomgå. Den består av en del om GDPR och integritetsfrågor och en del om hur Visma hanterar data, såväl för sina egna ändamål som å sina kunders vägnar. Varje del följs av ett test och för att klara kursen krävs alla rätt.
Denna utbildning ingår också i utbildningen av nyanställda.

GDPR & Visma Spcs

Lokal kompetens sedan 1998
Visma Spcs hanterar stora datavolymer. Vi har lagt vikt vid att följa Personuppgiftslagen och vi utsåg ett Personuppgiftsombud redan när PUL trädde i kraft 1998. Detta ombud har sedan 2012 samarbetat i ett nätverk med andra stora svenska Vismaföretag, för att sedan bli en del av koncernens projektgrupp.
Ett viktigt ansvarsområde för ombudet har sedan länge varit intern utbildning, anpassad till olika yrkesrollers behov. Det gör att det fanns en bred grundförståelse för dataskydd och integritet redan när arbetet med GDPR inleddes.

Sedan länge aktiv i grupper för branschstandard
Som stor leverantör av tjänster inom det företagsekonomiska området har Visma Spcs aktivt bidragit till att utveckla standarder, exempelvis vad gäller e-fakturor och arbete i Bokföringsnämnden. Samma gäller i GDPR-arbetet, där vi bland annat är med i SRFs arbete kring lönerelaterade tjänster. Vi bjöd också tidigt in våra konkurrenter till diskussioner om dataportabilitet, det vill säga rätten att flytta sina uppgifter från en leverantör till en annan.

GDPR i produktutvecklingen

Koncernsamordning kring produkter
Vismakoncernen har en fullt ut genomförd samordning av produktutvecklingen. Det betyder att samtliga produkter har tillgång till koncernens resurser och ingår i koncernens planläggning. En viktig fördel jämfört med många av våra konkurrenter, inte minst för de produkter som säljs i flera länder.
Visma Spcs ingår i den division som främst vänder sig till segmenten Micro och SMB (Small & Medium Businesses).
Samtliga produkter har fått en säkerhetsgenomgång som kräver godkänt på följande tre områden för att bedömas som GDPR-klara:

• GDPR  
  Bland de GDPR-specifika kraven kan som exempel nämnas att behandlingen av persondata ska specificeras gällande vilket data som behandlas, syftet med behandlingarna och hur länge behandlingen är tänkt att pågå. Alla avtal med underleverantörer ska vara godkända. När så behövs ska information ha lämnats på korrekt sätt. Vi har också sett över hur väl produkterna stöder en riktig tillämpning av GDPR.
  
    Vill du läsa mer om Dataskyddsförordningen, hittar du allt material på vår sida om GDPR
  
• Säkerhet  
  Inom säkerhetsområdet faller saker som behörighetskontroll, skalskydd, databassäkerhet, loggning och andra åtgärder för att försvåra tillgång till data.
  
    Vill du veta mer om hur vi jobbar med säkerhet? Läs mer på Trust Centre (på engelska)
  
• Kvalitet  
  Exempel här är säker kod som systematiskt kontrolleras av automatiska och manuella system samt rutiner för snabba prioriteringar och uppdateringar vid behov.

GDPR-kompetens i produktteamen
Varje produktteam har sina egna experter så att man kan ta fullt ansvar för sitt uppdrag. Det kan gälla programmerare, arkitekter, testare, gränssnittsutvecklare och ämnesexperter.

Produktteamens utbildning
Visma har en utbildningsinriktad kultur som också har fokus på kunskapsdelning. Förutom löpande behovsstyrda utbildningar, så samlas alla koncernens produktteam årligen till konferensdagar med erfarenhetsutbyte.
Utöver den GDPR-specifika utbildningen, så har man fått olika grader av anpassad utbildning.

Tillgång till koncernens kompetens
Varje division har, förutom tillgång till lokalt GDPR-stöd via sitt företags DPM, direkt styrning och stöd från sin divisions-DPM. På det sättet finns också stora möjligheter till samordning.
På liknande sätt fungerar det med säkerhets- och kvalitetsfrågor.

En utvecklingsenhet med kundkontakt
Visma Spcs utvecklare har regelbunden kundkontakt som en del av sina arbetsuppgifter, bland annat ett årligt kundbesök. Verklighetskontakt är nödvändigt för en god produktutveckling.