GDPR: Hvad er passende tekniske sikkerhedsforanstaltninger?

Man kan organisere arbejdet med persondataforordningen på mange måder. Man skal selvfølgelig gøre det på den måde, som passer best til organisationen.
Det kan imidlertid være nyttigt at se på, hvordan andre har delt opgaven op, så man kommer hele vejen rundt om forordningen, og samtidig klarlægge andre ting, der kan skabe værdi for virksomheden.

1. Hvem har ansvaret? Udpeg en projektleder

I første fase skal man beslutte, hvem der skal lede de tiltag, der skal sættes i værk i henhold til persondataforordningen. Det er vigtigt, at der både er visse tekniske og juridiske kompetencer til rådighed. Har man ikke det, må man købe sig til det udefra, eller gøre det så godt man kan, med de ressourcer man har – f.eks. ved at sende medarbejderne på kursus i GDPR-forordningen.

Ledelsen i organisationen skal sørge for, at der udpeges en projektansvarlig, som refererer til ledelsen. Ledelsen skal samtidig erkende, at det ikke er den projektansvarlige, som kan tage alle beslutninger i et projekt så stort som GDPR. Kort og godt fordi persondataforordningen berører alle funktioner og dele af virksomhedens processer. Ledelsen skal beslutte sig ud fra de alternativer, som projektlederen fremlægger. Ledelsen skal desuden afklare, om der er behov for at udpege andre end en projektleder. F.eks. vil det være nyttigt, at nogen i organisationen får ansvaret for informationssikkerheden.

Projektlederen skal i arbejdet sikre, at organisationen kommer igennem de nedenstående trin. Der bør ske en løbende kommunikation ud i organisationen, så de relevante personer inddrages i f.eks. kortlægningen af behandlingsaktiviteter og beslutninger. Projektlederen skal også sørge for, at ledelsen hele tiden tilslutter sig de iværksatte tiltag.

Afhængig af organisationens størrelse kan projektlederen inddrage virksomhedens administrerende direktør, en projektgruppe med flere direktører og evt. en række funktionschefer eller decideret rapporteringsansvarlige til bestyrelsesformanden.

2. Indledende awareness om GDPR i organisationen

Man kan ikke komme for tidligt i gang med at gøre organisationen opmærksom på GDPR-forordningen om personoplysninger. Der er i alle organisationer inden et persondataprojekt en lang række forhold, som formodentlig er decideret ulovlige. Der skal især sættes ind på især tre punkter:

• Ledelsen skal have et summary af reglerne, så de forstår, hvad det drejer sig om, og hvorfor indsatsen er vigtig. Desuden skal ledelsen have en beskrivelse af de tiltag, som skal iværksættes.
• Medarbejderne skal også have et summary af reglerne. Dette summary skal relateres til deres hverdag, så forordningen ikke bliver et abstrakt monster. Det er vigtigt, at de forstår, at de har en rolle i at sikre, at organisationen kan efterleve reglerne og hvordan.
• Leverandørerne skal også efterleve reglerne, og det kan være nyttigt at afklare tidligt i processen, om de har gjort sig overvejelser om efterlevelse af persondataforordningen.

Når projektlederen er i gang med sin indledende awareness-kampagne vil man ofte komme i berøring med medarbejdere, som har personlig forkærlighed for at beskytte personoplysninger. Sådanne personer er en stor hjælp at få identificeret i organisationen. Dels fordi de har en større motivation end gennemsnittet til at få projektet til at lykkes, og dels fordi de kan bidrage med nyttig og ærlig information om, hvordan systemer anvendes og processer fungerer i praksis.

3. Den juridiske to-do-liste

Man er nødt til at skabe sig en basal forståelse af de krav, som GDPR-forordningen indeholder. Man kan f.eks. konsultere Datatilsynets hjemmeside, læse artiklerne på Wired Relations eller kigge på Wired Relations' software, for at få et overblik over de forskellige opgaver i GDPR-arbejdet. Overordnet kan reglerne inddeles i følgende hovedoverskrifter:

• Principper
  Reglerne indeholder en række grundlæggende principper, som altid skal efterleves. Dette indebærer f.eks. en bestemmelse i forhold til formålet med at behandle personoplysninger og sletning af oplysningerne igen, når formålet er opfyldt.
• Retligt grundlag (hjemmel)
  Udgangspunktet er, at der ikke må behandles personoplysninger. Hertil er der så en række undtagelser, som sikrer, at man under konkrete forudsætninger alligevel kan behandle personoplysninger. Man må f.eks. behandle personoplysninger, hvis to parter har indgået en kontrakt med hinanden, og det er nødvendigt for kontraktens opfyldelse at behandle oplysningerne. En anden mulighed er at bede pænt om lov – også kaldet et samtykke.
• De registreredes rettigheder
  Dem som data vedrører, de registrerede, har en række rettigheder. Disse rettigheder omfatter bl.a. retten til at få indsigt i, hvilke personoplysninger, der behandles, og retten til - under visse omstændigheder - at få slettet oplysningerne.
• Den dataansvarliges pligter
  Den som fastsætter formål og midler og behandler oplysningerne har også en række pligter. F.eks. skal de sørge for at oplysningerne opbevares sikkert, og de skal kontrollere, at deres samarbejdspartnere (databehandlere) også opfylder kravet om sikker opbevaring af oplysningerne.
• Tredjelandsoverførsler af data
  I nogle tilfælde skal personoplysningerne føres ud af EU. Det kan f.eks. ske, hvis organisationen benytter sig af en udenlandsk cloudtjeneste. I sådanne tilfælde skal man have et retligt grundlag for overførslen. Læs mere om tredjelandsoverførsler her.
• Andre regler
  Persondataforordningen indeholder også en række andre regler. Der er f.eks. regler for, hvordan Datatilsynet skal agere, og hvordan de europæiske datatilsyn skal samarbejde. Disse regler er der for de fleste organisationer ikke grund til at kende ret meget til.

Det er en af projektlederens vigtigste opgaver at forstå reglerne eller at finde en ekspert, som projektlederen løbende kan rådføre sig med. I den anledning er det vigtigt, at organisationen accepterer, at projektlederen får råderum til at opbygge et eksternt netværk, hvor praktiske erfaringer fra arbejdet med forordningen kan udveksles.

4. Sammenhæng mellem forordningen og (it)sikkerhed: Sammenkæd ISO 27001/27002 standarderne med GDPR

Et væsentligt element i at efterleve forordningen består i at skabe en god informationssikkerhed omkring oplysningerne. Derfor kan man lige så godt få gennemgået sine sikkerhedsforanstaltninger, når man nu alligevel er i gang. Det er sund fornuft (men ikke et krav efter forordningen) at gå frem efter en sikkerhedsstandard, som sikrer, at man kommer hele vejen rundt om (it)sikkerheden. De krav, der er til organisationen i forordningen, kan mappes med de krav, der er til organisationen i en sikkerhedsstandard, f.eks. ISO27002. På den måde kan man få eet samlet regelsæt for begge dele.

Projektlederen bør sikre, at der er it-kompetencer inkluderet i GDPR-projektets deltagerliste.

5. Få overblik over it-systemer eller arbejdsprocesser

Organisationen skal skabe siget overblik over, hvilke systemer, man er i besiddelse af. Overblikket skal bl.a.  indeholde:

• Navn på systemet
• En beskrivelse af, hvad systemet laver
• Hvem leverandøren er, inkl. kontaktinformation
• Kontrakten som bl.a. beskriver, om der behandles personoplysninger, hvor lang tid servicen løber og evt. hvilke oppetid og andre services, som er inkluderet
• En ejer af systemet i egen organisation
• En databehandleraftale, som opfylder persondataforordningens krav
• interdependens med andre systemer

Når man skal udarbejde sin fortegnelse - altså, hvilke systemer man har, og hvilke behandlingsaktiviteter de varetager, kan man med fordel spørge den person, som er ansvarlig for virksomhedens it-systemer. Herefter bør man spørge ud i organisationen, om der bruges andre systemer, som er købt ind udenom it-afdelingen – f.eks. forskellige online services. Endelig kan man indkøbe software, som kan kontrollere hvilke tjenester, der kobles op til ude på internettet.

Som alternativ til at kortlægge systemer, er der også nogle organisationer, som kortlægger processer. At kortlægge processer betyder, at man skal tage stilling til, hvor dybt man vil granulere processerne – altså, hvor detaljeret man vil gå til værks. Hvis man ikke graver tilstrækkeligt dybt, er der en betydelig risiko for, at der efter en kortlægning af processerne stadig er en række systemer på maskinerne i serverrummet, som behandler personoplysninger, men som ikke er blevet omfattet af en proces, og dermed ikke er blevet kortlagt.

Det er en god ide at benytte lejligheden til at få styr på de leverandørkontrakter, organisationen har indgået. Mange af it-leverandører behandler personoplysninger. Og alle dem, der ikke behandler personoplysninger, skal alligevel kortlægges for at fastslå, at de ikke behandler personoplysninger.

Projektlederen bør sikre, at alle systemer har mindst én ejer. Ejeren bør være en nøgleperson i forretningen, som er afhængig af systemets funktionalitet. Ved siden af ejeren kan man - afhængig af organisationens størrelse - udpege en teknisk ejer i it-afdelingen, som sørger for den tekniske kortlægning og tekniske vedligehold, og en ejer i direktionen, så man sikrer ledelsesopbakning.

6. Evaluering af lovlighed (retligt grundlag)

Når man har overblikket over sine systemer, og hvad de laver med hvilke oplysninger, skal man til at kortlægge systemerne, og hvilke data, de behandler i henhold til GDPR. Denne fase er den vigtigste i persondataforordningsprojektet! Her skal man basalt set forholde sig til de kortlagte systemer under punkt 5 til den juridiske to-do-liste under punkt 3. Man skal altså for personoplysninger i systemerne se, om de opfylder GDPR-principperne, om der er retligt grundlag for behandlingerne, om de registrerede kan udøve deres rettigheder, om organisationen kan overholde de pligter, som reglerne pålægger den, og om der sker overførsel til lande udenfor EU og i givet fald, på hvilket retligt grundlag.

Når projektlederen oplever en diskrepans mellem systemerne og lovgivningen, skal projektlederen udarbejde et forslag til mitigering af denne diskrepans. Forslagene skal forelægges ledelsen, som beslutter, hvilken løsning, der skal iværksættes for at efterleve loven. Hvis ledelsen ikke vil efterkomme forslagene (f.eks. ikke vil komme med en tilstrækkelig bevilling til at få løst et problem) og en anvendelse ikke kan gøres lovlig, er det projektlederens ansvar at ledelsen er opmærksom på, hvilken risiko organisationen løber (f.eks. i form af at modtage møder) samt hvilke risici, det vil få for de registrerede.

7. Organisatoriske og tekniske foranstaltninger

Ved evalueringen af lovligheden har man givetvis fundet ud af, at organisationen på visse punkter ikke overholder reglerne. Det er derfor nødvendigt at skrive nogle procedurer for, hvordan behandling skal finde sted, for at loven kan opretholdes. Tilsvarende kan det være nødvendigt med tekniske tiltag for f.eks. at automatisere sletning eller for at øge sikkerheden. De organisatoriske og tekniske foranstaltninger, som iværksættes, skal vedligeholdes, så de altid afspejler det konkrete trusselsbillede, som personoplysningerne møder.

Projektlederen vil sjældent have kompetencer eller tid til at håndtere alle projekter selv. Men det er vigtigt, at projektlederen dels sikrer bevillinger hos ledelsen, og dels kontrollerer, at andre implementerer de rette foranstaltninger.

8. Bred "Awareness" om GDPR i organisationen

Når alt er kortlagt, og de rette foranstaltninger er på plads, skal man til at sikre, at medarbejderne faktisk efterlever reglerne og medvirker til at beskytte personoplysningerne på en ordentlig måde. Ingen foranstaltninger er noget værd, hvis ikke de også efterleves af medarbejderne. Den flittige medarbejder kunne f.eks. finde på at tage kundekartoteket med hjem for at arbejde om aftenen. Den letteste måde at gøre det på, er måske at tage et udtræk og lægge det i Dropbox. Når det sker, mister organisationen kontrollen med oplysningerne, og på den måde kan organisationen og de registrerede blive udsat for en uacceptabel risiko. Derfor er det vigtigt, at medarbejderne ved, hvordan oplysningerne må behandles. Der bør derfor iværksættes en awarenesskampagne om reglerne internt. Medarbejderne bør testes i deres kendskab til GDPR-reglerne, ligesom forskellige kontroller (f.eks. logning) kan vise, hvordan personoplysningerne rent faktisk behandles. Projektlederen forelægger dokumentation for medarbejdernes kendskab, forståelse af- og efterlevelse af reglerne til ledelsen.

9. Arbejdet med GDPR og compliance slutter aldrig

Beskyttelse af personoplysninger er ikke noget, som bare går væk. Det er heller ikke noget, som kan afsluttes endeligt. Lang tid efter 25. maj 2018, hvor forordningen fik virkning, er der masser af GDPR-projekter i organisationerne, som stadig kører: F.eks. sletteprojekter for data, compliance med cookiesamtykket og uddybning af detaljerne i proceskortlægningerne. Hertil kommer, at organisationerne hele tiden får nye systemer, der også behandler personoplysninger, og som derfor skal kortlægges. Den juridiske praksis ændrer sig også løbende, og kortlægninger og foranstaltninger skal ændres tilsvarende i organisationerne. Persondataforordningsprojektet vil derfor ændre karakter over tid, men det vil reelt aldrig blive afsluttet. Det er projektlederens ansvar at sikre, at organisationen hele tiden er up-to-date med udviklingen.