GDPR: Fem anbefalede redskaber til GDPR-arbejdet

27. juli 2020

De fleste starter nok deres GDPR-arbejde med nogle løst strukturerede Excel-filer. Men når man skal i gang for alvor med at arbejde struktureret med GDPR, vil der hurtigt være behov for at anvende professionelle værktøjer til sit arbejde. I denne artikel gives nogle forslag til nogle værktøjer, man med fordel kan anvende.

Kortlægningen af persondata

Kortlægningen af systemer og/eller behandlingsaktiviteter, hvori der indgår personoplysninger, er central for det videre arbejde. Kortlægningen skaber overblik over, hvilke personoplysninger organisationen er i besiddelse af, hvorfor man har dem (hvilke formål de skal opfylde), med hvilken hjemmel man behandler dem, hvor de befinder sig, hvornår de slettes osv.

Med kortlægningen bliver man klar over i hvilken grad man er compliant, og man får også en oversigt over, hvad der skal ændres, og hvad der skal iværksættes af tiltag for at blive compliant.

Et godt bud på et kortlægningsværktøj er Wired Relations. Med dette værktøj får man et overblik over leverandører, leverandørernes status og de eventuelle tilknyttede databehandleraftaler, hvilke systemer man har og hvilke personoplysninger der er på dem, samt får foretaget den konkrete kortlægning af systemer og/eller behandlingsaktiviteter, så man bl.a. kan lave en fortegnelse over behandlingsaktiviteter efter artikel 30.

Risikovurdering

Risikovurdering spiller en central rolle i GDPR. Det er centralt at få et samlet overblik over de risici, som de registrerede udsættes for ved at organisationen behandler personoplysninger. Der findes ikke konkrete krav til grundigheden af risikovurderingen i GDPR, så de beror på en konkret vurdering hos den dataansvarlige, hvor grundigt man vil gå til værks. Har man mange personoplysninger, følsomme personoplysninger, er organisationen udsat for særlige risici (f.eks. fordi de er globale eller i en særlig interessant branche) eller er der en bestemt kedelig historik taler dette for, at man går mere grundigt til værks. Skal man gå grundigt til værks skal man vælge et grundigt tool, som indeholder trusselkatalog, normalisering af konsekvenser, vurderer risici på alle parametrene: fortrolighed, tilgængelighed og integritet, kan veje risiciene sammen på tværs af systemer, osv. Da metodikken er den samme for at vurdere de registreredes risici såvel som organisationens risici, kan det betale sig at gå efter et tool, der kan håndtere begge typer af risici.

Har man ikke de store grundige behov, er et godt bud på et tool den risikovurderingsskabelon, som er udviklet i tilknytning til Sikkerhedstjekket, og som kan findes på sikkerdigital.dk

Tekniske foranstaltninger m.v.

På baggrund af risikovurderingen skal der implementeres en række tekniske foranstaltninger, som understøtter behandlingssikkerheden. Det afhænger af resultaterne fra risikovurderingen, hvilke foranstaltninger der er behov for at iværksætte. Den grundlæggende sikkerhed i form af sikkerhed på organisationens klienter (brugernes PC’er, mobiltelefoner m.v.) skal være på plads. Det omfatter bl.a. automatisering af opdateringer, lokal sikkerhedspakke med antivirus, blokering af skadelige hjemmesider, m.v., kryptering af disken, logning, auditing, remote wipe osv. Videre skal organisationens servere sikres, firewall med IDS/IPS, der skal etableres adgangskontrol (gerne to-faktor), overvågning af netværket, sikker adgang fra fjernarbejdspladser, logning og systematisk opsamling af denne for nu at nævne nogle eksempler. Phishing, CEO-fraud og ransomware er nogle af de trusler, der globalt har haft størst sikkerhedsmæssigt impact de senere år. De tekniske sikkerhedsforanstaltninger kan omfatte forskellige former for filtre, som blokerer trafik til kendte skadelige sider på internettet og som filtrerer kendte skadelige mails fra. Det er imidlertid også vigtigt at have organisatoriske foranstaltninger på plads, således at medarbejderne trænes i at genkende phishing mails, og således at der findes procedurer for godkendelse af betalinger, som imødegår CEO-fraud (uagtet at dette ikke er en direkte trussel mod personoplysninger). Der har ligeledes været mange eksempler på tab af personoplysninger i betydningen at disse ved en fejl sendes ud af organisationen. For at imødegå dette kan det overvejes at implementere en Data Loss Prevention teknologi, som automatisk genkender prædefinerede kategorier af personoplysninger som f.eks. CPR-nummer, excel-filer med store mængder af borger/kunde-data osv., og forhindrer at disse forlader organisationen af ikke godkendte kanaler.

Læs mere om sikkerhedsforanstaltninger her.

Det kan være nyttigt med et værktøj, som dokumenterer hvad der er implementeret af tekniske foranstaltninger, og hvem der har ansvaret for disse. Ligeledes kan det være nyttigt at værktøjet samler de organisatoriske foranstaltninger, der er etableret i form af en overordnet politik, et ledelsessystem (ISMS/PIMS), et regelsæt, nogle uddybende procedurer og de til regelsæt og procedurer tilknyttede kontroller. 

Styr på leverandører/databehandlere

Det er god latin på sikkerhedsfronten (og i overensstemmelse med ISO27002) at have styr på sine leverandører. Det er et krav i GDPR (bl.a. artikel 28) at have styr på sine databehandlere. Sammenfattende kan man sige, at der skal være styr på de eksterne parter, som leverer tjenester til organisationen. Første skridt er at have en proces for godkendelse af leverandører. Næste skridt er at håndtere kontrakter, databehandleraftaler, fortrolighedserklæringer og hvad der i øvrigt regulerer de to parters indbyrdes forhold. Tredje skridt er at kontrollere, at parterne overholder, hvad der er aftalt. Det betyder, at der skal forskellige typer af audits af leverandører/databehandlere til, for at verificere at sikkerheden er som aftalt og forventet.

Alt efter hvor kompleks organisationen er, kan dette kortlægges i et kontraktstyringsværktøj. Her kan også lagres de audit-rapporter som indhentes og evalueringen af disse kan dokumenteres.

Andre dokumentationsbehov

Dokumentation står centralt i GDPR, bl.a. fordi de dataansvarliges ansvar slås fast i artikel 24, og fordi dokumentation nævnes som et centralt princip i artikel 5, stk. 2. Alt efter organisationens konkrete behov kan der være behov for tools, som samler op på databrud (der involverer personoplysninger), henvendelser om indsigt, sletning m.v. fra de registrerede, afgivne samtykker og deres gyldighed, kriterier for og gennemførelse af konsekvensanalyser eller noget helt femte. Hvilke tools, der måtte være relevante, afhænger af en konkret vurdering i den enkelte organisation. 

Konklusion

Anvendelsen af forskellige værktøjer kan systematisere og effektivisere arbejdet med GDPR. De kan bidrage til at sikre, at den fornødne dokumentation er på plads, når der er behov for det. De kan understøtte behandlingssikkerheden, således at risikovurderingen understøttes og ultimativt af de registreredes risiko dermed begrænses til et minimum. De kan også sikre at der sker en bred involvering af hele organisationen. Endelig har man den fordel, når man bruger eksisterende værktøjer, at man ikke selv skal opfinde den dybe tallerken i alle henseender.

Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri.

I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder.

Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin

Du er måske også interesseret i

Notat om Schrems II

Notat om Schrems II

EDPBs anbefalinger bl.a. om supplerende foranstaltninger til standardkontrakterne ved tredjelandsoverførsler i lyset...