GDPR: Fem anbefalede redskaber til GDPR-arbejdet

By 
Henning Mortensen
July 27, 2020

De fleste starter nok deres GDPR-arbejde med nogle løst strukturerede Excel-filer. Men når man skal i gang for alvor med at arbejde struktureret med GDPR, vil der hurtigt opstå et behov for at anvende professionelle værktøjer til arbejdet. I denne artikel gives nogle forslag til værktøjer, som man med fordel kan anvende.

Kortlægningen af persondata i GDPR

Kortlægningen af systemer og/eller behandlingsaktiviteter, hvori der indgår personoplysninger, er central for det videre arbejde med GDPR. Kortlægningen skaber overblik over, hvilke personoplysninger organisationen er i besiddelse af, hvorfor man har dem (hvilke formål de skal opfylde), med hvilken hjemmel man behandler dem, hvor de befinder sig, hvornår de slettes osv.

Med kortlægningen bliver man klar over, i hvilken grad man er compliant med retningslinjerne i GDPR-direktivet, og samtidig får man en oversigt over, hvad der skal ændres, og hvad der skal iværksættes af tiltag, for at ens behandlingsaktiviteter stemmer overens med GDPR (= compliance).

Et godt bud på et kortlægningsværktøj er Wired Relations. Med dette værktøj får man overblik over leverandører, leverandørernes status og de eventuelle tilknyttede databehandleraftaler, hvilke systemer man har, og hvilke personoplysninger, der er opbevares i dem; samt foretager den konkrete kortlægning af systemer og/eller behandlingsaktiviteter, så man efter forskrifterne i artikel 30 kan udarbejde en fortegnelse over behandlingsaktiviteter.

Risikovurdering og risikoanalyse

Risikovurdering spiller en central rolle i GDPR. Det er essentielt at få et samlet overblik over de risici, som de registrerede udsættes for ved at organisationen behandler personoplysninger. Der findes ikke konkrete krav til grundigheden af risikovurderingen i GDPR, hvorfor denne beror på en konkret vurdering og analyse fra den dataansvarlige side af, hvor grundigt man vil gå til værks.
Har man mange personoplysninger, herunder følsomme personoplysninger, er organisationen udsat for særlige risici. Dette kan skyldes, at den opererer globalt eller tilhører en særlig interessant branche. Det kan også skyldes, at der er tale om en kedelig historik, som taler for, at man går mere grundigt til værks. Skal man gå grundigt til værks, er det vigtigt at vælge et værktøj, der kan klassificere både trusselkatalog, normalisering af konsekvenser samt vurderer risici på alle parametrene: fortrolighed, tilgængelighed og integritet, samt kan veje risiciene sammen på tværs af systemer osv. i en samlet risici-matrix.
Da metodikken er den samme for at vurdere de registreredes risici såvel som organisationens risici, kan det betale sig at gå efter et system, der kan håndtere begge typer af risici på samme tid.

Har man ikke de store eller grundige behov, er et godt bud på et risiko-værktøj den skabelon, som er udviklet i tilknytning til Sikkerhedstjekket, og kan findes på sikkerdigital.dk

Tekniske foranstaltninger m.v.

På baggrund af risikovurderingen skal der implementeres en række tekniske foranstaltninger, som understøtter behandlingssikkerheden. Afhængig af resultaterne i risikoanalysen, sættes der derved nogle rammer for, hvilke foranstaltninger, der er behov for at iværksætte. Den grundlæggende sikkerhed i form af sikkerhed på organisationens klienter (brugernes PC’er, mobiltelefoner m.v.) skal være på plads. Det omfatter bl.a. automatisering af opdateringer, lokal sikkerhedspakke med antivirus, blokering af skadelige hjemmesider, m.v., kryptering af disken, logning, auditing, remote wipe osv.
Videre skal organisationens servere sikres, firewall med IDS/IPS, der skal etableres adgangskontrol (gerne to-faktor), overvågning af netværket, sikker adgang fra fjernarbejdspladser, logning og systematisk opsamling af denne for nu at nævne nogle eksempler.
Phishing, CEO-fraud og ransomware er nogle af de trusler, der globalt har haft størst sikkerhedsmæssigt impact de senere år. De tekniske sikkerhedsforanstaltninger kan omfatte forskellige former for filtre, som blokerer trafik til og fra (kendte) skadelige sider på internettet og som filtrerer kendte skadelige mails fra. Det er imidlertid også vigtigt at have organisatoriske foranstaltninger på plads, således at medarbejderne trænes i at genkende phishing mails, og at der findes procedurer for godkendelse af betalinger, som imødegår CEO-fraud (uagtet at dette ikke er en direkte trussel mod personoplysninger).

Der har været mange eksempler på tab af personoplysninger, eksempelvis at disse ved en fejl sendes ud af organisationen. For at imødegå problemstillingen kan man overveje at implementere en Data Loss Prevention teknologi, som automatisk genkender prædefinerede kategorier af personoplysninger - herunder CPR-numre eller Excel-filer med store mængder borger/kunde-data osv. Her vil Data Loss Prevention teknologierne være med til at forhindre informationerne i at forlade organisationen via ikke-godkendte kanaler.

Det kan være nyttigt med et værktøj, som dokumenterer, hvad der er implementeret af tekniske foranstaltninger, og hvem der har ansvaret for disse. Ligeledes kan det være nyttigt at værktøjet samler de organisatoriske foranstaltninger, etableret i form af en overordnet politik, et ledelsessystem (ISMS/PIMS), et regelsæt, nogle uddybende procedurer og de til regelsæt og procedurer tilknyttede kontroller. 

Styr på leverandører/databehandlere

Det er god latin på sikkerhedsfronten (og i overensstemmelse med ISO27002) at have styr på sine leverandører. Det er endvidere et krav i GDPR (bl.a. i artikel 28), at have styr på sine databehandlere. Sammenfattende kan man sige, at der skal være styr på de eksterne parter, som leverer tjenester til organisationen.
For at kunne det, er første skridt at have en proces for godkendelse af leverandører. Næste skridt er at håndtere kontrakter, databehandleraftaler, fortrolighedserklæringer og hvad der i øvrigt regulerer de to parters indbyrdes forhold. Tredje skridt er at sikre sig og kontrollere, at parterne overholder, hvad der er aftalt. Det betyder, at der skal forskellige typer audits af leverandører/databehandlere til, for at verificere, at sikkerheden er som aftalt og forventet.

Alt efter hvor kompleks organisationen er, kan dette kortlægges i et kontraktstyringsværktøj. Her kan også lagres de audit-rapporter, som indhentes samt evalueringen af disse og den tilhørende dokumentation.

Andre dokumentationsbehov

Dokumentation er centralt i GDPR, bl.a. fordi de dataansvarliges ansvar slås fast i artikel 24, og fordi dokumentation nævnes som et centralt princip i artikel 5, stk. 2.
Alt efter organisationens konkrete behov kan der være behov for værktøjer, som samler op på databrud (der involverer personoplysninger), henvendelser om indsigt, sletning m.v. fra de registrerede, afgivne samtykker og deres gyldighed, kriterier for og gennemførelse af konsekvensanalyser eller noget helt femte. Hvilke værktøjer til at håndtere disse opgaver, som måtte være relevante, afhænger af en konkret vurdering i den enkelte organisation. 

Konklusion

Anvendelsen af forskellige værktøjer kan systematisere og effektivisere arbejdet med GDPR. De kan bidrage til, at den fornødne dokumentation er på plads, når der er behov for det - f.eks ved audits. De kan samtidig understøtte behandlingssikkerheden, og dermed at risikovurderingen understøttes, og dermed - ultimativt - at de registreredes risiko begrænses til et minimum. Værktøjer som f.eks. Wired Relations sikre, at der sker en bred involvering af hele organisationen omkring GDPR.
Endelig har man den fordel, når man bruger eksisterende værktøjer, at man ikke selv skal opfinde den dybe tallerken i alle henseender.

Flere blogs indenfor området

Se alle blogs

Reflektioner fra Privacy Space Live: Lovgivning er vigtig - andre ting betyder mere

Sådan mestrer du DPIA-processen

Få styr på DPIA-processen: 7 trin til succesfuld implementering af nye systemer