System- og proceskortlægning

System- og proceskortlægning

GDPR stiller en række krav til den dataansvarliges dokumentation af behandling af personoplysninger. Det er helt centralt, at man er i stand til at præsentere en fyldestgørende kortlægning, hvis Datatilsynet skulle komme på besøg. Vi må også forvente, at organisationens samarbejdspartnere i stigende grad vil stille krav til kortlægningen, og lade den indgå i beslutningsgrundlaget i forhold til hvilken tillid de kan have til organisationen. I denne artikel vil vi drøfte, hvad der skal kortlægges og på hvilket niveau, kortlægningen skal finde sted. 

Den juridiske baggrund

Persondataforordningen stiller i artikel 30 krav om, at en organisation skal kunne dokumentere sine behandlingsaktiviteter i form af en fortegnelse over behandlingsaktiviteter. Videre stiller forordningen i artikel 5, stk. 2 krav om, at organisationen skal kunne efterleve forordningens grundlæggende principper for behandling. Desuden fastslås det i artikel 24, at det er den dataansvarlige, som har ansvaret for, at forordningen efterleves overordnet set. I artikel 28 stilles der krav om, at der skal være styr på hvilke databehandlere der anvendes, og hvilke krav de skal efterleve. I artikel 25 og 32 stilles der krav til de tekniske og organisatoriske foranstaltninger, der skal være plads for at sikre henholdsvis en passende understøttelse af IT-løsningernes design med hensyn til de registreres rettigheder og sikkerheden ved behandlingen. I artikel 32 og 35 stilles der krav om, at der er gennemført en risikovurdering og evt. en konsekvensanalyse, og disse skal naturligvis kunne dokumenteres. I artiklerne 12-22 gives de registrerede en række rettigheder, og forudsætningen for at disse kan udleves hviler på en grundig dokumentation – f.eks. med hensyn til hvilket formål og hvilken hjemmel en behandling hviler på og hvornår personoplysningerne slettes fra IT-systemerne. Der er således tale om, at der skal tilvejebringes en omfattende dokumentation.

Systemkortlægning

En god måde at lave sin dokumentation på er at kortlægge hvilke systemer, der behandler hvilke personoplysninger. Udgangspunktet i denne type kortlægning er altså IT-systemerne. Det skal fastslås, hvad systemet laver, hvem der har leveret det, om der er tale om en databehandlerkonstruktion eller om der er tale om to selvstændigt dataansvarlige eller fælles dataansvar, om der sker tredjelandsoverførsel, hvad systemet indeholder af almindelige og følsomme personoplysninger, hvem i organisationen der er ansvarlig for systemet (ejer), m.v. På baggrund af denne overordnede kortlægning kan man så tilknytte formål, hjemmel, sletning, adgang, oplysning osv. til de enkelte felter med personlysninger i systemet.

”System” skal forstås bredt og er således både systemer, som organisationen selv driver på egen matrikel med egne folk, og tjenester som er indkøbt fra samarbejdspartnere i form af outsourcing-leverandører, cloud-tjenester eller systemer som drives af eller på vegne af myndighederne.

Proceskortlægning

Som alternativ til en systemkortlægning findes proceskortlægningen. Idéen er her, at der kortlægges efter organisationens processer. Det forudsættes, at det er beskrevet i en proces, hvad der sker, når der f.eks. ansættes en ny medarbejder: HR-afdelingen indhenter ansøgning, CV, m.v. Funktionschefen overbringer ansættelsesmeddelelse og indhenter supplerende personoplysninger. HR orienterer IT-afdelingen, der opretter bruger og får godkendt autorisationer til interne tjenester hos funktionschefen. Alle disse forhold forudsættes beskrevet i en proces. Til hvert led i processen kan man så kortlægge, hvilke oplysninger der behandles – herunder hvilke nye personoplysninger, der kommer til eller falder fra.

Processerne kan granuleres efter behov: F.eks. kan man have en overordnet proces, som hedder ansættelse, som kan granuleres i rekruttering, (personligheds)tests, valg af ny medarbejder, oprettelse af bruger og velkomst, som hver især omfatter behandlinger af delvist overlappende sæt af personoplysninger – og i øvrigt også overlap af underliggende IT-systemer: rekrutteringssystem, testsystemer, e-mailsystemer, active directory, e-læringsplatform med tests af forståelse af procedurer m.v. Man taler om procesbeskrivelser i flere lag med få hovedprocesser og flere og flere underliggende processer. Meget modne (og store) organisationer har typisk sådanne procesbeskrivelser liggende klar – men flertallet af danske organisationer har ingen eller få af sådanne procesbeskrivelser. 

Den juridiske praksis

Vi har i sagens natur endnu i skrivende stund få eksempler på Datatilsynets tilsynspraksis, men i efteråret 2018 har Datatilsynet gennemført nogle få runder af tilsyn efter de nye regler, ligesom de har annonceret deres tilsyn for foråret 2019. I disse tilsyn spørger Datatilsynet bl.a. om den dataansvarlige:

  • kan dokumentere det afgivne samtykke
  • kan håndtere tilbagetrækning af samtykke
  • kan dokumentere, hvilken oplysninger der er givet til den registrerede forud for indhentelse af et samtykke
  • kan levere en liste over systemer, hvori der behandles personoplysninger
  • kan levere en liste over hvilke personoplysninger og behandlinger, der foretaget i systemet
  • kan redegøre for hvilke slettefrister, der er fastsat for de enkelte personoplysninger i systemet
  • har iværksat foranstaltninger, der sikrer automatisk sletning af personoplysningerne.

Man må konstatere, at det unægteligt vil være meget lettere at levere den relevante dokumentation med en systemkortlægning, end hvis man har lavet en proceskortlægning.

System- versus proceskortlægning

Når man vælger en systemtilgang, får man en meget grundig kortlægning, som sikrer, at man kommer hele vejen rundt om alle systemer. Det er utænkeligt, at man skulle glemme et system, hvis man vælger den rette kombination af metodikker. Man kan teste og løbende holde øje med, hvad der findes af systemer i virksomheden, og hvad der kobles op til af tjenester på nettet, således at systemoversigten løbende vedligeholdes.

Når man vælger en proceskortlægning, er det en forudsætning, at der foreligger eller kan tilvejebringes tilstrækkeligt detaljerede procesbeskrivelser. Det er ligeledes en forudsætning, at processerne er tilstrækkeligt granulerede til at omfatte alle systemer, der behandler personoplysninger – ellers risikerer man, at når man er færdig med sin kortlægning, står der ti servere i serverummet, som behandler personoplysninger, men som ikke er omfattet af en procesbeskrivelse. Der findes ikke en måde, som automatisk kan detektere, om der pludselig behandles flere oplysninger – f.eks. ved skift af et system til et nyt med flere muligheder. Kortlægningen er afhængig af, at behandlingerne reflekteres i procesbeskrivelserne.

Forordningen siger ikke noget om, hvorvidt man skal vælge den ene eller den anden type kortlægning. Den siger blot, at det er den dataansvarlige, som skal lave kortlægningen og stå på mål for den. Begge tilgange er altså ”lovlige”. Det bliver dermed et lidt religiøst spørgsmål, om man er tilhænger af det ene eller det andet. Organisationen må vælge den tilgang, der passer bedst i organisationens kultur. Ofte vil en GDPR-ansvarlig med en teknisk baggrund vælge en systemtilgang, mens en GDPR-ansvarlig med juridisk baggrund vil vælge en procestilgang.

Realiteten er nok, at en kombination af de to tilgange er det bedste valg – men også den mest omfattende dokumentation. Man kan således starte med at kortlægge sine systemer. Herefter kan man tage de processer, som er mest forretningskritiske eller som behandler de mest følsomme personoplysninger og kortlægge disse på baggrund af systemkortlægningen, hvor man altså kombinerer en række systemer under den samme proces. På den måde går man både med livrem og seler, og man har som dataansvarlige minimeret sandsynligheden for, at der foregår ulovlige behandlinger (selvfølgelig forudsat at kortlægningen afspejler lovlige forhold).

Kortlægningsmulighederne i Wired Relations

I WR’s løsning kan man vælge både en system- og en proceskortlægning. Der er altså op til den enkelte dataansvarlige at vælge, om man vil gå med det ene eller det andet eller en kombination af de to tilgange. Det har den fordel, at man kan komme hurtigt i mål med en compliant kortlægning – men samtidig løbende kan udbygge sin kortlægning i takt med, at man bliver klogere og mere moden på det persondataretlige område. Det betyder også, at man kan sadle forholdsvist hurtigt om, hvis den persondataretlige virkelighed i form af praksis skulle ændre sig. WR har også den fordel, at kortlægningen er næsten 100% customiserbar, så man kan tilpasse kortlægningen til det konkrete system eller den konkrete proces. 

Links

Se også vores artikel om Kortlægning af systemer og leverandører.

Datatilsynets tilsynspraksis i 2018:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2018/okt/hvad-spoerger-datatilsynet-om-paa-tilsyn/

Datatilsynets planlagte tilsyn i foråret 2019:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2019/jan/planlagte-tilsyn-i-foerste-halvaar-af-2019/

Om Henning Mortensen

Om Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin