Interview: Den nye EU-persondataforordning, også kaldet databeskyttelsesforordningen, træder i kraft 25. maj 2018, og den har sat tankerne og arbejdet i gang i it-afdelinger over hele Europa.
Konsekvensen af dårlig sikkerhed kan nemlig være kæmpebøder til de virksomheder, der ikke har gjort hjemmearbejdet grundigt nok og opfyldt kravene fra EU.
Men det er ikke kun it-afdelingen, der skal arbejde med at få sikkerheden tilpasset EU-reglerne. Det er i høj grad også forretningen, der skal tage ansvar.
Overblik og kontrol
Forordningen indeholder en lang række krav til virksomheder, der behandler data, som direkte eller indirekte kan relateres til en fysisk person.
De nye regler betyder blandt andet, at virksomheden fremover skal have det totale overblik og kontrol over data-flowet i virksomheden. Hvis der skulle ske et brud på datasikkerheden, skal virksomheder selv inden for en kort tidsramme efter opdagelsen af bruddet informere samtlige ramte organisationer og personer.
I målet for at tæmme den proces er det it, der skal foretage den tekniske sikring af informationerne, men det er forretningen, der skal definere hvilke data, der er sårbare eller ikke sårbare.
Det fortæller Casper Pedersen, der er ekspert i Data Management og EU's forordning (General Data Protection Regulation) i virksomheden SAS institute.
"Der er et fælles grundvilkår for alle virksomheder. Man kan ikke outsource ansvaret. Det ligger i den enkelte virksomhed. Man kan få hjælp og støtte for at nå målet, men ansvaret, for at it-sikkerheden er på plads, er dit eget," siger Casper Pedersen til Computerworld.
For at leve op til kravene anbefaler han, at man angriber opgaven helt lavpraktisk.
"Start med at analysere de simpleste dele af din it-infrastruktur og lær, hvad du skal gøre for at opfylde kravene. Starter du med at gå i gang med at strukturere data i et kæmpe it-system, så er det svært at holde overblikket og i stedet for lære noget, så er der en risiko for, at du bliver forvirret og usikker," siger han og fortsætter:
"Mange vil sikkert opleve, at det slet ikke står så slemt til. Det er i hvert fald den erfaring, jeg har. Men der er kun en måde at finde du af det på, og det er ved at kigge på sit indhold, arbejdsgange og sine procedurer. Modsat kan nogle firmaer også opleve, at de har de samme data liggende flere forskellige steder, fordi man sjældent sletter informationer i en moderne virksomhed."
Hvad skal man så gøre med de personfølsomme data i netværket?
"Der er to forskellige muligheder. Du kan kryptere de meget følsomme data, eller du kan pseudonymisere data. Det sidste kan beskrives som en kryptering, der kan spoles tilbage af de relevante medarbejdere, som skal anvende informationerne. Alle andre er udelukkede fra at se dem."
Skal man også slette data?
"Ja, det kan sagtens være nødvendigt. Det giver ofte også god mening at få ryddet op, og der er eksempelvis regler for samtykke i forbindelse med brug af persondata. Samtidig giver EU-forordningen også brugeren retten til at få alle data eller historik slettet. Men det er først noget, man skal se på, når det basale dataarbejde er på plads."
Kan du give et eksempel på, hvilke data en bruger kan ønske slettet?
"Det kan eksempelvis være informationer, som HR-afdelingen har. Informationer på gamle medarbejdere eller fra uopfordrede ansøgninger."
Fem ansvarsområder
Casper Pedersen peger på fem led, der skal gennemgås for at nå frem til at overholde EU's regler, og han sætter ansvar på hver af arbejdsgangene.
Du kan læse mere om, hvordan du forbereder din virksomhed til General Data Protection Regulation (GDPR) her: Fem gode råd: Sådan kommer du i gang med den nye EU-persondataforordning
Læs også: CSC's sikkerhedsdirektør: Ni ud af ti sikkerhedshændelser opstår på grund af manglende hjemmearbejde
Den fysiske adgang til data og systemer: Her ligger ansvaret både i it og i forretningen. Forretningen skal fortælle hvilke data, der er tale om, og it-skal sørge for, at det er de rigtige personer, der har adgang til data.
Definition af indhold af data: Her ligger ansvaret i forretningen, der ved, hvad data anvendes til og i hvilken proces, de bruges.
Identifikation af data: Når data anvendes og fortolkes, er det forretningen, der har ansvaret, mens it skal sikre leveringen af de korrekte data fra de rigtige systemer. Der er således tale om et fælles ansvar, når man samler trådene.
Beskyttelse af data: Det er en teknisk disciplin, der skal håndteres af it efter retningslinjer fra forretningen. Ansvaret, for at data ikke bliver kompromitteret, ligger således i it.
Kontrol og dokumentation af at reglerne overholdes: Det er it, der skal stå for de automatiserede processer. Hvis der opstår problemer eller uoverensstemmelser mellem arbejdsgange og regler, kan det både være it eller forretningen, der skal løse dem.
Hvor langt er danske virksomheder fra at opfylde kravene fra EU?
"Danmark er, som i mange andre EU-spørgsmål, den gode dreng i klassen. Banker og teleindustrien er eksempelvis rigtig godt på vej. Der er dog udfordringer for nogle myndigheder som eksempelvis kommunerne, fordi der er mange følsomme oplysninger, der anvendes af mange forskellige brugere af de kommunale systemer. Det er svært at holde overblikket i de komplekse løsninger. Men vi er blandt de lande, der er tættest på målet."
Computerworld afholder 15. december et gratis seminar om EU-persondataforordningen. Læs mere om programmet og tilmeld dig her: Kom godt i gang med EU-persondataforordningen.
Læs også:
CSC's sikkerhedsdirektør: Ni ud af ti sikkerhedshændelser opstår på grund af manglende hjemmearbejde
Fem gode råd: Sådan kommer du i gang med den nye EU-persondataforordning