Et community af Wired Relations

Besøg

Et community af Wired Relations for Privacy Pros

Tilbage til Wired Relations

December 4, 2019

GDPR: Hvad er passende tekniske sikkerhedsforanstaltninger?

Persondataforordningen kan være en ordentlig mundfuld at sluge. Derfor er det vigtigt at dele arbejdsopgaven op i forskellige faser og tage dem en ad gangen. Når man skal arbejde med forordningen, kan man lige så godt samtidig få sikkerheden på plads og få styr på sine kontrakter. I denne artikel kan du læse et forslag til at få styr på alle delene på én gang.

Man kan organisere arbejdet med persondataforordningen på mange måder. Man skal selvfølgelig gøre det på den måde, som er bedst i sin egen organisation. Imidlertid kan det være nyttigt at se på, hvordan andre har delt opgaven op, således at man kommer hele vejen rundt om forordningen, og således at man samtidig får styr på andre ting, der kan skabe værdi for virksomheden.

1. Ansvar

I første fase skal man beslutte, hvem der skal lede de tiltag, som skal sættes i værk i henhold til persondataforordningen. Det er vigtigt, at der både er visse tekniske og juridiske kompetencer til rådighed. Har man ikke det, må man købe sig til det udefra, eller gøre det så godt man kan, med de ressourcer man har – f.eks. ved at sende medarbejderne på kursus.

Ledelsen i organisationen skal sørge for, at der udpeges en projektansvarlig, som refererer til ledelsen. Ledelsen skal samtidig erkende, at det ikke er den projektansvarlige, som kan tage alle beslutninger vedrørende et persondataforordningsprojekt. Ledelsen skal beslutte blandt de alternativer, som projektlederen fremlægger. Ledelsen skal desuden afklare, om der er behov for at udpege andre end en projektleder. F.eks. vil det være nyttigt, dersom nogen i organisationen har fået ansvaret for informationssikkerheden.

Projektlederen skal sikre, at organisationen kommer igennem nedenstående trin. Der skal ske en løbende kommunikation ud i organisationen, så de relevante personer inddrages i kortlægninger og beslutninger. Projektlederen skal også sørge for at ledelsen hele tiden tilslutter sig de tiltag som iværksættes.

Afhængig af organisationens størrelse kan projektlederen inddrage virksomhedens administrerende direktør, en projektgruppe med flere direktører og evt. en flerhed af funktionschefer eller decideret rapportere til bestyrelsesformanden.

2. Indledende awareness

Man kan ikke komme for tidligt i gang med at gøre organisationen opmærksom på, at der findes regler for behandling af personoplysninger. Der er i alle organisationer inden et persondataforordningsprojekt masser af forhold, som formodentlig er decideret ulovlige. Der skal sættes ind på især tre punkter:

  • Ledelsen skal have et summary af reglerne, så de forstår, hvad det drejer sig om, og hvorfor det er vigtigt, at der gøres en indsats. Desuden skal ledelsen have en beskrivelse af de tiltag, som skal iværksættes.
  • Medarbejderne skal ligeledes have et summary af reglerne. Dette summary skal relateres til deres hverdag, så forordningen ikke bliver et abstrakt monster. Det er vigtigt, at de forstår, at de har en rolle i forbindelse med at sikre, at organisationen kan efterleve reglerne.
  • Leverandørerne skal også efterleve reglerne, og det kan være nyttigt at afklare tidligt i processen, om de har gjort sig overvejelser om efterlevelse af persondataforordningen.

Når projektlederen er i gang med sin indledende awareness vil han givetvis komme i berøring med medarbejder, som har en personlig forkærlighed for at beskytte personoplysninger. Sådanne personer er det meget nyttigt at få identificeret i organisationen. Dels fordi de har en større motivation end gennemsnittet til at få projektet til at lykkes, og dels fordi de kan bidrage med nyttig og ærlig information om hvordan systemer anvendes og processer fungerer i praksis.

3. Den juridiske to-do-liste

Man er nødt til at skabe sig en basal forståelse af de krav, som forordningen indeholder. Man kan f.eks. konsultere Datatilsynets hjemmeside, læse artiklerne her på hjemmesiden eller prøve at kigge i Wired Relations løsningen, for at få et indtryk af, hvad reglerne indeholder. Overordnet kan reglerne inddeles i følgende hovedoverskrifter:

  • Principper
    Reglerne indeholder en række grundlæggende principper, som altid skal efterleves. Det er f.eks. en bestemmelse af formålene med at behandle personoplysninger og sletning af oplysningerne igen, når formålet er opfyldt.
  • Retligt grundlag
    Udgangspunktet er, at der ikke må behandles personoplysninger. Der er så en række undtagelser, som sikrer at man under konkrete forudsætninger alligevel kan behandle personoplysninger. Man må f.eks. behandle personoplysninger, hvis to parter har indgået en kontrakt med hinanden, og det er nødvendigt for kontraktens opfyldelse at behandle oplysningerne. En anden mulighed er at bede pænt om lov – også kaldet samtykke.
  • De registreredes rettigheder
    Dem, data vedrører, de registrerede, har en række rettigheder. Disse rettigheder omfatter bl.a. retten til at få indsigt i hvilke personoplysninger, der behandles, og retten til under visse omstændigheder at få slettet oplysningerne.
  • Den dataansvarliges pligter
    Den, som fastsætter formål og midler og behandler oplysningerne, har også en række pligter. F.eks. skal de sørge for god sikkerhed omkring oplysningerne, og de skal sørge for at kontrollere, at deres samarbejdspartnere (databehandlere) også har god sikkerhed omkring oplysningerne.
  • Tredjelandsoverførsel
    I nogle tilfælde skal personoplysningerne føres ud af EU. Det kan f.eks. ske, hvis organisationen benytter sig af en tjeneste i clouden. I sådan et tilfælde skal man også have et retligt grundlag for overførslen.
  • Andre regler
    Persondataforordningen indeholder også en række andre regler. Det er f.eks. regler om, hvordan Datatilsynet skal agere, og hvordan de europæiske datatilsyn skal samarbejde. Disse regler er der for de fleste organisationer ikke grund til at kende ret meget til.

Det er en af projektlederens vigtigste opgaver at forstå reglerne eller at finde en ekspert, som projektlederen løbende kan rådføre sig med. I den anledning er det vigtigt, at organisationen accepterer, at projektlederen får råderum til at opbygge et eksternt netværk, hvor praktiske erfaringer med arbejdet med forordningen udveksles.

4. Sammenhæng mellem forordningen og sikkerhed

Et væsentligt element i at efterleve forordningen består i at skabe en god informationssikkerhed omkring oplysningerne. Derfor kan man lige så godt få gennemgået sine sikkerhedsforanstaltninger, når man nu alligevel er i gang. Det er sund fornuft (men ikke et krav efter forordningen) at gå frem efter en sikkerhedsstandard, som sikrer, at man kommer hele vejen rundt om sikkerheden. De krav, der er til organisationen i forordningen, kan mappes med de krav, der er til organisationen i en sikkerhedsstandard, f.eks. ISO27002. På den måde kan man få eet samlet regelsæt for begge dele.

Projektlederen bør sikre, at der er it-kompetencer inkluderet i persondataforordningsprojektet.

5. Systemer eller processer

Organisationen skal få et overblik over hvilke systemer, organisationen er i besiddelse af. Overblikket skal bl.a. indledningsvist indeholde

  • et navn på systemet
  • en beskrivelse af hvad systemet laver
  • hvem leverandøren er inkl. kontaktinformation
  • kontrakten, som bl.a. beskriver om der behandles personoplysninger, hvor lang tid servicen løber og evt. hvilke oppetid og andre services, som er inkluderet
  • en ejer af systemet i egen organisation
  • en databehandleraftale, som opfylder persondataforordningens krav
  • interdependens med andre systemer

Når man skal finde ud af, hvilke systemer man har, kan man spørge den person, som har ansvaret for virksomhedens it-systemer. Herefter bør man spørge ud i forretningen, om der bruges andre systemer, som er købt ind udenom it-afdelingen – f.eks. forskellige online services. Endelig kan man indkøbe software, som kan kontrollere hvilke tjenester, der kobles op til ude på internettet.

Som alternativ til at kortlægge systemer, er der også nogen organisationer, som kortlægger processer. At kortlægge processer betyder, at man skal tage stilling til, hvor dybt man vil granulere processerne – altså hvor detaljeret man vil gå til værks. Hvis man ikke graver tilstrækkeligt dybt, er der en betydelig risiko for, at der efter en kortlægning af processerne stadig står en række systemer i serverrummet, som behandler personoplysninger, men som ikke er blevet omfattet af en proces, og dermed ikke er blevet kortlagt.

Det er en god ide at benytte lejligheden til at få styr på de leverandørkontrakter, organisationen har indgået. Mange af it-leverandørerne behandler personoplysninger. Og alle dem, der ikke behandler personoplysninger, skal alligevel kortlægges for at fastslå, at de ikke behandler personoplysninger.

Projektlederen bør sikre, at alle systemer har mindst én ejer. Ejeren bør være en nøgleperson i forretningen, som er afhængig af systemets funktionalitet. Ved siden af ejeren kan man afhængig af organisationens størrelse udpege en teknisk ejer i it-driftsafdelingen, som sørger for den tekniske kortlægning og teknisk vedligehold, og en ejer i direktionen, så man sikrer ledelsesopbakning.

6. Evaluering af lovlighed

Når man har overblikket over sine systemer, og hvad de laver, skal man til at kortlægge systemerne, og de data de indeholder i henhold til GDPR. Denne fase er den vigtigste i persondataforordningsprojektet! Her skal man basalt set forholde de kortlagte systemer under punkt 5 til den juridiske to-do-liste under punkt 3. Man skal altså for personoplysninger i systemerne se, om de opfylder principperne, om der er retligt grundlag for behandlingerne, om de registrerede kan udleve deres rettigheder, om organisationen kan overholde de pligter, som reglerne pålægger den, og om der sker overførsel til lande udenfor EU og i givet fald på hvilket retligt grundlag.

Når projektlederen oplever en diskrepans mellem systemerne og lovgivningen skal projektlederen udarbejde forslag til mitigering af denne diskrepans. Forslagene skal forelægges ledelsen, som beslutter hvilken løsning, der skal iværksættes for at efterleve loven. Hvis ledelsen ikke vil efterkomme forslagene (f.eks. ikke vil komme med en tilstrækkelig bevilling til at få løst et problem) og en anvendelse ikke kan gøres lovlig, er det projektlederens ansvar at ledelsen er opmærksom på hvilken risiko organisationen løber (f.eks. i form af at modtage møder) og hvilke risici, der er for de registrerede.

7. Organisatoriske og tekniske foranstaltninger

Ved evalueringen af lovligheden har man givetvis fundet ud af, at organisationen på visse punkter ikke overholder reglerne. Det er derfor nødvendigt at skrive nogle procedurer for, hvordan behandling skal finde sted, for at loven kan opretholdes. Tilsvarende kan det være nødvendigt med tekniske tiltag for f.eks. at automatisere sletning eller for at øge sikkerheden. De organisatoriske og tekniske foranstaltninger, som iværksættes, skal vedligeholdes, så de altid afspejler det konkrete trusselsbillede, som personoplysningerne står overfor.

Projektlederen vil sjældent have kompetencer eller tid til at håndtere alle projekter selv. Men det er vigtigt, at projektlederen dels sikrer bevillinger hos ledelsen, og dels kontrollere at andre implementerer de rette foranstaltninger.

8. Bred "Awareness"

Når alt er kortlagt, og de rette foranstaltninger er på plads, skal man til at sikre, at medarbejderne faktisk efterlever reglerne og medvirker til at beskytte personoplysningerne på en ordentlig måde. Ingen foranstaltninger er noget værd, hvis medarbejderne forsøger at omgå dem. Den flittige medarbejder kunne f.eks. finde på at tage kundekartoteket med hjem for at arbejde om aftenen. Den letteste måde at gøre det på, er måske at tage et udtræk og lægge det i Dropbox. Når det sker, mister organisationen kontrollen med oplysningerne, og på den måde kan organisationen og de registrerede blive udsat for en uacceptabel risiko. Derfor er det vigtigt, at medarbejderne ved, hvordan oplysningerne må behandles. Der bør iværksættes en awarenesskampagne om reglerne. Medarbejderne bør testes. Desuden kan forskellige kontroller som f.eks. logning vise, hvordan personoplysningerne rent faktisk behandles. Projektlederen forlægger dokumentation for medarbejdernes kendskab, forståelse og efterlevelse af reglerne til ledelsen.

9. Arbejdet slutter aldrig

Beskyttelse af personoplysninger er ikke noget, som bare går væk. Det er heller ikke noget, som kan afsluttes endeligt. Lang tid efter 25. maj 2018, hvor forordningen fik virkning, er der masser af persondataforordningsprojekter i organisationerne, som stadig kører. F.eks. sletteprojekter, compliance med cookiesamtykket og uddybning af detaljerne i proceskortlægningerne. Hertil kommer, at organisationerne hele tiden får nye systemer, der også behandler personoplysninger, og som derfor skal kortlægges. Den juridiske praksis ændrer sig også løbende, og kortlægninger og foranstaltninger skal ændres tilsvarende i organisationerne. Persondataforordningsprojektet vil derfor ændre karakter over tid, men det vil reelt aldrig blive afsluttet. Det er projektlederens ansvar at sikre, at organisationen hele tiden er up-to-date med udviklingen.

By
Henning Mortensen
December 4, 2019
Tekst
GDPR
Awareness & Træning

From Privacy League Live.
Join the session on Teams to learn, ask and grow as a privacy pro.
Every Wednesday at 14.00 CET.

Learn more