Kortlægning af systemer og leverandører

Kortlægning af systemer og leverandører

Det er vanskeligt at skabe sig et overblik over, hvilke systemer en organisation egentlig bruger. Når man begynder at kortlægge, er det ofte som at åbne Pandoras æske, fordi det viser sig, at der bruges langt flere systemer, end man umiddelbart tror. I denne artikel vil vi berøre, hvordan man kan identificere sine systemer. 

Reglerne i GDPR

Persondataforordningen stiller i artikel 30 krav om, at en organisation skal kunne dokumentere sine behandlingsaktiviteter i form af en fortegnelse over behandlingsaktiviteter. Videre stiller forordningen i artikel 5, stk. 2 krav om, at organisationen skal kunne efterleve forordningens grundlæggende principper for behandling. Desuden fastslås det i artikel 24, at det er den dataansvarlige, som har ansvaret for, at forordningen efterleves overordnet set. Derfor har alle organisationer behov for at have en god GDPR-dokumentation. Et solidt udgangspunkt herfor er at identificere og kortlægge de systemer, som organisationen er i besiddelse af (og hvori der behandles personoplysninger). Dette kaldes ofte en fortegnelse over informationsaktiver. Denne fortegnelse kan også være ekstremt nyttigt, når der skal arbejdes med informationssikkerhedstiltag – f.eks. i henhold til ISO27001/2.

Den intuitive tilgang

Når den GDPR-ansvarlige skal i gang med at kortlægge hvilke systemer, som egentlig bruges i organisationen, er det naturligt dels at tage udgangspunkt i, hvad vedkommende selv bruger og dels at tage kontakt til ansvarlige i organisationen, som man på forhånd ved bruger andre systemer end en selv – f.eks. HR- og IT-afdelingerne. På den måde kan den GDPR-ansvarlige forholdsvist hurtigt lave en bruttoliste over de mest anvendte systemer.

Der er imidlertid andre mere systematiske tilgange til at kortlægge systemer, og der er ingen vej udenom at have en systematisk tilgang for uden systematik, vil man typisk ”glemme” en række systemer.

Den tekniske tilgang

En ret systematiseret tilgang til at afdække organisationens systemer er spørge IT-afdelingen, hvilken systemer organisationen anvender. IT-afdelingen ved, hvilke systemer der kører på virksomhedens servere, og hvilke tjenesteydelser på internettet som organisationen har indkøbt. IT-afdelingen kan f.eks. forholdsvist let trække en liste over virtuelle servere og kan lave tilknyttede beskrivelser af disse. IT-afdelingen kan dermed bidrage væsentligt til systembeskrivelsen. IT-afdelingen kan imidlertid kun i begrænset omfang bidrage yderligere til kortlægningen, fordi IT-afdelingen ikke nødvendigvis ved hvilke personoplysninger, der er indeholdt i systemerne, og ikke nødvendigvis ved, med hvilket formål systemerne arbejder. Som vi skal se nedenfor, er IT-afdelingens liste over systemer desuden kun sjældent komplet.

Den forretningsmæssige tilgang

Udover at spørge IT-afdelingen kan der være god grund til at spørge forretningen, hvilke systemer de bruger. Det kan gøres ved at bede at funktionschefer i organisationen lave lister (eller supplere eksisterende lister) over hvilke systemer, de bruger. Ofte vil der i denne proces blive tilføjet en række systemer, fordi forretningen bruger systemer, som IT-afdelingen ikke har været involveret i indkøbet af. Forretningen synes muligvis, at IT-afdelingen er for langsom eller for ofte siger nej til at bruge forskellige tjenester på internettet, og derfor har de købt løsningerne uden om IT-afdelingen. Det er en kendt sag, at cloud-leverandører ofte sælger deres tjenester ind i organisationerne uden om IT-afdelingerne. Nogle funktionschefer har måske også lidt mere uskyldigt vurderet, at det ikke var relevant at søge hjælp hos IT-afdelingen, førend de har indkøbt tjenester på nettet.

Organisationen bør have en procedure for, hvordan nye systemer og tjenester indkøbes i organisationen. Det vil bidrage til at sikre en fornuftig GDPR-kortlægning, men det vil også bidrage til at der købes mere effektivt og strømlinet ind.

Den regnskabsbaserede tilgang

Langt de fleste systemer og tjenester, som organisationen anvender, indebærer en månedlig eller årlig regning. En alternativ tilgang til at afklare, hvilke systemer og tjenester som anvendes, er derfor at spørge regnskabsafdelingen om, hvilke leverandører af IT-løsninger der er oprettet i regnskabssystemet. Denne tilgang har den fordel, at man kan få en systematisk liste over leverandørerne, som direkte kan importeres i GDPR-kortlægningssystemer m.v. Listen vil imidlertid næppe være komplet, dels fordi det næppe altid vil være indlysende på baggrund af regnskabsoplysningerne, at der er tale om en IT-tjeneste (der behandler personoplysninger) og dels fordi en række tjenester ikke betales med penge, men i stedet betales med data.

I den sidstnævnte kategori er der især på markedsføringsområdet en række tjenester, som organisationen kan abonnere på, og som f.eks. genererer forskellige statistikker til organisationen, og hvor betalingen er de data, som genereres i systemet, og som leverandøren mod at stille statistikkerne til rådighed til gengæld kan bruge til egne formål. Samme afdeling kan også anvende forskellige andre teknologier til f.eks. re-targeting (f.eks. bannerannoncer) i form af cookies, trackingpixels m.v. Der kan også være tale om tjenester, som stilles gratis til rådighed af myndighederne, men hvor der alligevel er tale om behandling af personoplysninger. Dette sker i vid udstrækning på HR-området. Videre kan der være tale om, at logistikafdelingen kan bruge tjenester til tracking af varer og levering heraf. Ingen af disse udløser et bilag under den regnskabsbaserede tilgang, og det er ikke sikkert, at IT-afdelingen er bekendt med deres anvendelse. I forhold til de ovenfor nævnte tilgange er det derfor kun funktionschefernes bidrag til kortlægningen, som vil afsløre disse systemers anvendelse.

Overvågningstilgangen

Tillid er godt, kontrol er bedre og razzia er bedst. Ud over de systemer, som er godkendt et eller andet sted i organisationen, vil der typisk blive anvendt en række øvrige systemer, som kreative medarbejdere selv tager i anvendelse for at løse deres arbejdsopgaver. Det kan også være, at der er funktionschefer, som kommer til at ”glemme” indberetning af anvendelse af systemer eller tjenester. Derfor er det en god ide som supplement til ovenfor nævnte kortlægningstiltag at få analyseret hvilke tjenester, brugerne faktisk kobler op til på internettet. Der findes forskellige IT-systemer kaldet CASB (Cloud Access Security Broker), som analyserer al organisationens udgående trafik og på den baggrund kan vise, hvad der konkret forbindes til af tjenester på nettet. En sådan analyse vil vise, at en lang række marketingstjenester, sociale netværk, e-mailtjenester, onlinebutikker osv. kontaktes af organisationens brugere.

Nogle af tjenesterne anvendes af organisationens ansatte til egne formål. Organisationen bør have en procedure som beskriver, hvad brugerne må anvende af tjenester fra organisationens udstyr. Må brugerne f.eks. gå på Facebook i arbejdstiden? Må brugerne kontakte et russisk socialt netværk fra virksomhedens udstyr? Må medarbejderne bruge datingtjenester? Analysen vil vise, at en række at tjenesterne åbenlyst bruges til at behandle organisationens data. Der skal på den baggrund tages stilling til, om anvendelsen af tjenesterne må fortsætte og dermed skal omfattes af kortlægningen, om der skal findes alternative tjenester til at opfylde det formål, brugerne ønsker opfyldt med anvendelsen af tjenesten, eller om tjenesterne skal blokeres, så der ikke længere er adgang til dem, og behandlingen til de af medarbejderne fastsatte formål skal ophøre. Man skal være opmærksom på, at CASB-løsninger kun afdækker de systemer, som kontaktes på internettet. CASB kan således som udgangspunkt ikke anvendes til afdækning af de interne systemer.

Kortlægningens indhold

Kortlægningen af systemlandskabet kaldes ofte for en kortlægning af organisationens informationsaktiver. En sådan kortlægning bør indeholde:

  • Systemets navn
  • En overordnet beskrivelse af hvad det er for en opgave systemet opfylder
  • Hvem der er leverandør
  • Hvem der ejer systemet (evt. en forretningsejer, en teknisk ejer og en direktørejer)
  • Hvor kontrakten befinder sig
  • Om systemet behandler personoplysninger
  • Om der findes en lovlig databehandleraftale
  • Om der sker overførsel til tredjelande

Opsummering

Der er mange faldgruber i kortlægningen af organisationens systemer også kaldet organisationens informationsaktiver. Der findes ikke én metode, som sikrer, at alle systemer kortlægges med sikkerhed, og de forskellige tilgange har hver deres styrker og svagheder. Ved at kombinere ovenstående metoder kan man imidlertid være ret sikker på at komme hele vejen rundt om systemerne og dermed have klarhed over, hvilke systemer, der behandler personoplysninger. 

Links

Læs også vores artikel om System og proceskortlægning

Om Henning Mortensen

Om Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin