Mobirise Website Builder

Dokumenthantering enligt GDPR (Dataskyddsförordningen)

GDPR, Persondataforordningen fra EU

Den 25:e maj 2018 träder en ny europeisk dataskyddsförordning i kraft; The General Data Protection Regulation (GDPR), som är den mest betydelsefulla dataskyddsreformen bland europeiska lagar och förordningar på 20 år.

GDPR ersätter den tidigare förordningen Data Protection Directive (DPD), med målet att förenkla och harmonisera dataskyddslagarna i Europa; och se till att EU-medborgare återfår kontrollen över deras personliga data.

Verksamheter som inte lever upp till GDPR när dataskyddslagen tas i bruk riskerar höga böter: upp till 20 miljoner Euro, eller 4% av den globala årsomsättningen från föregående räkenskapsår. En relevant fråga för dagens verksamheter är därför:
Upfyller era IT-system för data- och dokumenthantering dataskyddsförordningens 10 krav?

Dokumenthantering som uppfyller alla 10 krav från GDPR (dataskyddsreformen)

M-Files är en välkänd, global leverantör av system för dokumenthantering och ECM (Enterprise Content Management).

M-Files utmärker sig med sitt 100 % genomgående metadataconceptsom skapar unika möjligheter för att skapa lösningar som uppfyller alla möjliga krav på hantering av dokument och annan information. Allt styrs av relationer i M-Files: relationerna du konfigurerar mellan olika data, metadata, processer, regler och användare. Uppsättningen av dokumenthanteringssystem med M-Files begränsas således inte av fasta strukturer, såsom ofta är fallet i traditionell datahantering/dokumentstyrning. M-Files kallar sitt koncept för Intelligent Informationshantering (Intelligent Information Management).


Som platform uppfyller M-Files alla nya krav som kommer med dataskyddsreformen GDPR, och det är enkelt kan konfigurera sina workflows (arbetsprocesser) och annan metadata i M-Files så att de också uppfyller den kommande förordningen. Nedan redogör vi för hur M-Files uppfyller alla krav från GDPR, enligt en allmänt vedertagen rubricering av 10 krav* som informationsstyrnings- och dokumenthanteringssystem ställs inför när den nya dataskyddslagen träder i kraft:

1. Styrning av åtkomst till data

Systemet skall kunna samarbeta med system för hantering av användarroller och rättigheter, således att tillgång till bestämda typer av information kan begränsas.

M-Files har en omfattande styrningsmöjligheter av användarnas rättigheter, som kan hanteras i M-Files egna system, via AD-domän eller med hjälp av Federated Authentication (SAML) mot identitetsleverantörer som Google, AD FS, Azure AD, med flera. Tillgång kan styras med utgångspunkt i enskilda användare, standardiserade användargrupper eller specifika listor över användare.


Vidare kan graden av rättigheter definiers på varje metadatatyp som verksamheten har definierat (exempelvis Kunder, Projekt, Saker osv.) samt separat på de dokumenttyper som upprättats (exempelvis Kontrakt, Utvecklingssamtal, Ansökningar). Vidare kan åtkomsträttigheterna för ett dataobjekt utvidgas/begränsas efterhand som det flyttas mellan stegen för dess arbetsflöde (till exempel Utkast, Skickat till Godkännande, Publicerat till användarna eller liknande).


Det finns alltså inga begränsningar för hur åtkomsten till information i M-Files kan styras.

2. Åtkomstloggning

Det skall vara möjligt att logga åtkomsten till persondata, således att åtkomsttillfällena kan dokumenteras.

M-Files loggar varje händelse för alla data som finns i systemet: dokument, metadata eller annan information som hanteras i M-Files (såsom kundupplysningar, medarbetarupplysningar, med mera). M-Files loggar även varje nedladdning eller uppladdning, samt dokumentförändring. Allt lagras i M-Files Event log, som kan spara den önskade mängden händelser och som även är fullt sökbar och filtrerbar.


Administratören kan även exportera denna Event log för analys i andra verktyg (så som MS Power BI, TIBCO Sportfire eller liknande). Skulle man önska en ännu mer omfattande analys av händelser, över en mycket lång tid, kan Solution Management leverera en lösning som exporterar alla händelser till sin egna SQL-databas och som har utvecklade möjligheter för analys, samt övervakning av oönskade händelser.

3. Radering av data

Det skall vara möjligt att radera data i systemet när datasubjekt önskar raderas ur systemet.

Typiskt konfigureras M-Files så att data om en person blir direkt länkad till personen som datasubjekt i systemet. Det medför helt konkret att alla relevanta data och dokument blir tillskrivna metadata som länkar dem till denna person. Data om en specifik person kan därför snabbt och enkelt identifieras, markeras och raderas helt och hållet från M-Files.


Skulle man ha konfigurerat M-Files så att man inte med hjälp av denna metadata kan hitta information och dokument som berör personen, kan man även med hjälp av avancerad sökning hitta den relevanta informationen baserat på namn, personnummer osv.


Det bör understrykas att dokumenten/datan kan raderas fullständigt.

4. Dataexport 

Det skall vara möjligt att exportera persondata i ett i allmänhet vanligt förekommande format.

I M-Files kan dokument exporteras i sitt originalformat (exempelvis MS Word, MS Excel, etc.) eller som PDF. Annan data kan exporteras i Excel-format/CSV.

5. Dataklassificering

Det skall vara möjligt att ange en klassificering av data som är av betydelse för deras behandling.

I M-Files kan data klassificeras på alla tänkbara sätt. Metadata upprättas efter behov, och även metadata kan ha sin egna metadata. På så vis kan även metadata tillskrivas information såsom adresser, postnummer, regioner osv. Det kan definieras precis så många dokumentklasser som är relevanta. I persondatasammanhang kunde det till exempel gälla ansökningar, utvecklingssamtal eller anställningskontrakt, med mera.


För varje dokumentklass kan olika rättigheter definieras. Man ofta att exempelvis HR-dokument a priori har bestämda åtkomsrättigheter för mig och HR, där HR kan vara en användargrupp bestående av anställda inom HR-avdelningen. Eller så kan rättigheterna vara för mig, min närmsta chef och HR.


Därmed säkrar man sig från att fel personer får tillgång till dessa dokumentklasser av misstag.

Vill du lära dig mer om
GDPR och M-Files?

6. Raderingsregler kan införas

Systemet skall möjliggöra införandet av individuella raderingsregler, eventuellt som del av dataklassifikationen.

I M-Files kan raderingsregler anbringas på enskilda dokument, svepande för en dokumentklass eller på ett metadata. Typiskt konfigurerar man M-Files så att medarbetare i sig är specifik metadata, som anbringas på alla data som vidrör medarbetaren. Metadatan Medarbetare har egen metadata, såsom anställningsdatum och avskedsdatum.


För metadatan Medarbetare definieras en raderingsregel, som medför att alla personkänsliga data och dokument vidröande en medarbetare raderas en viss tid efter dennes avsked, typiskt efter 6 månader.


För att uppmärksamma verksamheten om att frånträdande medarbetares data snart raderas kan man även ställa in att det efter 5 månader skickas ett meddelande till relevanta användare, eller att en särskild virtuell mapp visas för dessa användare med en översikt över kommande raderingar.

7. Automatisk radering understöds

Systemet skall kunna hantera raderingsregler som leder till automatisk radering av data när deras livslängd  löpt ut.

Automatisk radering understödjs i överenstämmelse med de regler som sätts upp i M-Files. Se ovan (#6. Raderingsregler kan införas).

8. Kryptering av kommunikation  

Kommunikation med systemet bör ske över en säker och krypterad förbindelse.

I M-Files kan man kryptera både fildata och själva databasen. Vidare kan kommunikationen med M-Files sättas upp över en säker och krypterad förbindelse.

9. Kryptering av databaser 

Om data i systemet kan krypteras reduceras riskerna för otillåten dataåtkomst.

I M-Files kan man kryptera både fildata og själva databasen.

10. Planer för uppdatering av GDPR-funktioner

Leverantören bör kunna redogöra för planerna för att tillse att systemet lever upp till kraven i dataskyddsförordningen.

Vi menar att vi med ovanstående genomgång redogjort för att M-Files i stort sett fullständigt uppfyller kraven som ställs av GDPR på ECM-system. Efterhand som nationella myndigheter konkretiserar kraven kommer både M-Files och Solution Management att följa med i utvecklingen och aktivt tillföra relevant funktionalitet och konfigurering, samt hjälpa våra kunder med att uppfylla kraven.


Som tillägg till de ovanstående 9 kraven menar vi även att följande bör tas i beaktning:

Genom att vara helt metadatastyrt, där även rättigheter kan tilldelas/tas bort på all metadata, get M-Files idealiska möjligheter för att etablera en perfekt åtkomsthantering av personliga data, i enlighet med dataskyddsförordningen.


Generellt är det en god idé, om man vill följa Persondataförordningen, att se till att tillgång till dokument ges på en need-to-know-basis och att inte alla medarbetare har tillgång till alla dokument. En sådan need-to-know-basis är svår införa i en traditionell mappstruktur ("F:-disken"), men effektiv att införa i M-Files eftersom metadatan och dess åtkomsträttigheter enkelt inrättas efter denna princip.

* Källa till dessa10 krav: Devoteam har ställt upp tio konkreta krav; relevanta för leverantörer av system för dokumenthantering, diarie- och ärendehantering.

Kontakta oss så återkommer vi angående webbmöte eller hjälper dig starta med en kostnadsfri demolösning.