GDPR: System- versus proceskortlægning

By 
Henning Mortensen
November 20, 2019

GDPR stiller en række krav til den dataansvarliges dokumentation af behandling af personoplysninger. Det er helt centralt, at man er i stand til at præsentere en fyldestgørende kortlægning, hvis Datatilsynet skulle komme på besøg. Vi må også forvente, at organisationens samarbejdspartnere i stigende grad vil stille krav til kortlægningen, og lade den indgå i beslutningsgrundlaget i forhold til hvilken tillid de kan have til organisationen. I denne artikel vil vi drøfte, hvad der skal kortlægges og på hvilket niveau, kortlægningen skal finde sted.

Den juridiske baggrund

Persondataforordningen stiller i artikel 30 krav om, at en organisation skal kunne dokumentere sine behandlingsaktiviteter i form af en fortegnelse over behandlingsaktiviteter. Videre stiller forordningen i artikel 5, stk. 2 krav om, at organisationen skal kunne efterleve forordningens grundlæggende principper for behandling. Det fastslås i artikel 24, at det er den dataansvarlige, som har ansvaret for, at forordningen efterleves overordnet set. I artikel 28 stilles der krav om, at der skal være styr på, hvilke databehandlere der anvendes, og hvilke krav de skal efterleve. I artikel 25 og 32 stilles der krav til de tekniske og organisatoriske foranstaltninger, der skal være plads for at sikre henholdsvis en passende understøttelse af it-løsningernes design med hensyn til de registreres rettigheder og sikkerheden ved behandlingen. I artikel 32 og 35 stilles der krav om, at der er gennemført en risikovurdering og evt. en konsekvensanalyse, og disse skal naturligvis kunne dokumenteres. I artiklerne 12-22 gives de registrerede en række rettigheder, og forudsætningen for at disse kan udleves hviler på en grundig dokumentation – f.eks. med hensyn til hvilket formål og hvilken hjemmel en behandling hviler på; samt hvornår personoplysningerne slettes fra it-systemerne.

Der er med andre ord tale om, at der skal tilvejebringes en omfattende dokumentation i den samlede kortlægning og det overordnede GDPR-arbejde.

I det følgende vil vi gennemgå to forskellige typer af kortlægning, samt hvor omfattende disse bør eller skal være ifølge GDPR.

Systemkortlægning

En god måde at lave sin dokumentation på er at kortlægge, hvilke systemer, der behandler hvilke personoplysninger. Udgangspunktet i denne type kortlægning er altså it-systemerne. For at lave en kortlægning af, hvilke systemer, der behandler hvilke data, skal man blandt andet fastslå:

- Hvad laver systemet, og hvilke operationer håndterer det
- Hvem har leveret det
- Om der er tale om en databehandlerkonstruktion
- Om der er tale om to selvstændigt dataansvarlige, eller der findes et fælles dataansvar
- Om der sker tredjelandsoverførsel
- Hvad systemet indeholder af almindelige og følsomme personoplysninger
- Hvem i organisationen, der er ansvarlig for systemet (system-ejere)

På baggrund af denne overordnede kortlægning kan man så tilknytte formål, hjemmel, sletning, adgang, oplysning osv. til de enkelte felter med personlysninger i systemet.

”System” skal her forstås bredt, og dækker både systemer, som organisationen selv driver på egen matrikel med egne folk, og tjenester som er indkøbt fra samarbejdspartnere i form af outsourcing-leverandører, cloud-tjenester eller systemer, som drives af eller på vegne af myndighederne.

Proceskortlægninger & procesbeskrivelser

Som alternativ til en systemkortlægning findes proceskortlægningen. Idéen er her, at der kortlægges efter organisationens processer. Det forudsættes, at det er beskrevet i en proces, hvad der sker, når der f.eks. ansættes en ny medarbejder: HR-afdelingen indhenter ansøgning, CV, m.v. Funktionschefen overbringer ansættelsesmeddelelse og indhenter supplerende personoplysninger. HR orienterer it-afdelingen, der opretter en ny bruger og får godkendt autorisationer til interne tjenester hos funktionschefen. Alle disse forhold forudsættes bliver beskrevet i en proces. Til hvert led i processen kan man så kortlægge, hvilke oplysninger der behandles – herunder hvilke nye personoplysninger, der kommer til eller falder fra.

Processerne kan granuleres efter behov: F.eks. kan man have en overordnet proces, som hedder "Ansættelse", der kan granuleres i rekruttering, (personligheds)tests, valg af ny medarbejder, oprettelse af bruger og velkomst, som hver især omfatter behandlinger af delvist overlappende sæt af personoplysninger – og i øvrigt også overlap af underliggende it-systemer: rekrutteringssystem, testsystemer, e-mailsystemer, active directory, e-læringsplatform med tests af forståelse af procedurer m.v. Man taler om procesbeskrivelser i flere lag med få hovedprocesser og flere og flere underliggende processer. Meget modne (og store) organisationer har typisk sådanne procesbeskrivelser liggende klar – men flertallet af danske organisationer har ingen eller få af sådanne procesbeskrivelser. 

Den juridiske praksis

I efteråret 2018 har Datatilsynet gennemført nogle få runder af tilsyn efter de nye regler, ligesom de har annonceret deres tilsyn for foråret 2019. I disse tilsyn spørger Datatilsynet bl.a. om den dataansvarlige:

  • kan dokumentere det afgivne samtykke
  • kan håndtere tilbagetrækning af samtykke
  • kan dokumentere hvilke oplysninger, der er givet til den registrerede forud for indhentelse af et samtykke
  • kan levere en liste over systemer, hvori der behandles personoplysninger
  • kan levere en liste over, hvilke personoplysninger og behandlinger, der foretaget i systemet
  • kan redegøre for hvilke slettefrister, der er fastsat for de enkelte personoplysninger i systemet
  • har iværksat foranstaltninger, der sikrer automatisk sletning af personoplysningerne.

Man må konstatere, at det unægteligt vil være meget lettere at levere den relevante dokumentation med en systemkortlægning, end hvis man har lavet en proceskortlægning.

System- versus proceskortlægning: hvad skal I vælge?

Når man vælger en systemtilgang, får man en meget grundig kortlægning, som sikrer, at man kommer hele vejen rundt om alle systemer. Det er utænkeligt, at man skulle glemme et system, hvis man vælger den rette kombination af metodikker. Man kan teste og løbende holde øje med, hvilke systemer, der findes i virksomheden, og hvilke der kobles op til tjenester på nettet, således at systemoversigten løbende vedligeholdes. I Wired Relations er det nemt at lave jeres fortegnelser og få et overblik, da systemernes interdependens og dataudveksling vises er grafisk illustreret sammen med systemlisterne.

Når man vælger en proceskortlægning, er det en forudsætning, at der foreligger eller kan tilvejebringes tilstrækkeligt detaljerede procesbeskrivelser. Det er ligeledes en forudsætning, at processerne er tilstrækkeligt granulerede til at omfatte alle systemer, der behandler personoplysninger – ellers risikerer man, at når man er færdig med sin kortlægning, står der ti servere i serverummet, som behandler personoplysninger, som ikke er omfattet af en procesbeskrivelse. Der findes ikke en måde, som automatisk kan detektere, om der pludselig behandles flere oplysninger – f.eks. ved skift af et system til et nyt med flere muligheder. Kortlægningen er afhængig af, at behandlingerne reflekteres i procesbeskrivelserne.

I praksis: Start med systemerne, følg efter med processerne

Forordningen siger ikke noget om, hvorvidt man skal vælge den ene eller den anden type kortlægning. Den siger blot, at det er den dataansvarlige, som skal lave kortlægningen og stå på mål for den. Begge tilgange er altså ”lovlige”. Det bliver dermed et lidt religiøst spørgsmål, om man er tilhænger af det ene eller det andet. Organisationen må vælge den tilgang, der passer bedst i organisationens kultur. Ofte vil en GDPR-ansvarlig med en teknisk baggrund vælge en systemtilgang, mens en GDPR-ansvarlig med juridisk baggrund vil vælge en procestilgang.

Realiteten er nok, at en kombination af de to tilgange er det bedste valg – men også den mest omfattende dokumentation. Man kan således starte med at kortlægge sine systemer. Herefter kan man tage de processer, som er mest forretningskritiske eller som behandler de mest følsomme personoplysninger og kortlægge disse på baggrund af systemkortlægningen, hvor man altså kombinerer en række systemer under den samme proces. På den måde går man både med livrem og seler, og man har som dataansvarlige minimeret sandsynligheden for, at der foregår ulovlige behandlinger (selvfølgelig forudsat at kortlægningen afspejler lovlige forhold).

Kortlægningsmulighederne i Wired Relations

I Wired Relations kan man vælge både en system- og en proceskortlægning. Der er altså op til den enkelte dataansvarlige at vælge, om man vil gå med det ene eller det andet eller en kombination af de to tilgange. Det har den fordel, at man kan komme hurtigt i mål med en compliant kortlægning – men samtidig løbende kan udbygge sin kortlægning i takt med, at man bliver klogere og mere moden på det persondataretlige område. Det betyder også, at man kan sadle forholdsvist hurtigt om, hvis den persondataretlige virkelighed i form af praksis skulle ændre sig. Wired Relations har også den fordel, at kortlægningen er næsten 100% customiserbar, så man kan tilpasse kortlægningen til det konkrete system eller den konkrete proces.

Links

Se også vores artikel GDPR: Sådan identificerer man alle sine systemer og leverandører

Datatilsynets tilsynspraksis i 2018:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2018/okt/hvad-spoerger-datatilsynet-om-paa-tilsyn/

Datatilsynets planlagte tilsyn i foråret 2019:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2019/jan/planlagte-tilsyn-i-foerste-halvaar-af-2019/