GDPR: Sådan identificerer man alle sine systemer og leverandører

Reglerne i GDPR

Persondataforordningen stiller i artikel 30 krav om, at en organisation skal kunne dokumentere sine behandlingsaktiviteter i form af en fortegnelse over disse (RoPa). Videre stiller forordningen i artikel 5, stk. 2 krav om, at organisationen skal kunne efterleve forordningens grundlæggende principper for databehandling. Desuden fastslås det i artikel 24, at det er den dataansvarlige, som har ansvaret for, at forordningen efterleves overordnet set. Derfor har alle organisationer behov for at have en god GDPR-dokumentation. Et solidt udgangspunkt herfor er at identificere og kortlægge de systemer, som organisationen er i besiddelse af (og hvori der behandles personoplysninger). Dette kaldes ofte en fortegnelse over informationsaktiver. Denne fortegnelse kan også være ekstremt nyttig, når der skal arbejdes med informationssikkerhedstiltag – f.eks. i henhold til ISO27001/2.

Den intuitive tilgang

Når den GDPR-ansvarlige skal i gang med at kortlægge, hvilke systemer, som egentlig bruges i organisationen, er det naturligt dels at tage udgangspunkt i, hvad vedkommende selv bruger og dels at tage kontakt til den ansvarlige i organisationen, som man på forhånd ved bruger andre systemer end en selv – f.eks. HR- og it-afdelingen. På den måde kan den GDPR-ansvarlige forholdsvist hurtigt lave en bruttoliste over de mest anvendte systemer.

Der er imidlertid andre og mere systematiske tilgange til at kortlægge systemer, og der er ingen vej udenom en - så at sige - systematisk tilgang. For uden systematik, vil man typisk overse en række systemer.

Den tekniske tilgang

En ret systematiseret tilgang til at afdækningen er at spørge it-afdelingen, hvilke systemer organisationen anvender. It-afdelingen ved, hvilke systemer, der kører på virksomhedens servere, og hvilke tjenesteydelser på internettet organisationen har indkøbt. It-afdelingen kan f.eks. forholdsvist let trække en liste over virtuelle servere og kan lave tilknyttede beskrivelser af disse. It-afdelingen kan dermed bidrage væsentligt til system-afdækningen. It-afdelingen kan imidlertid kun i begrænset omfang bidrage yderligere til kortlægningen, fordi den ikke nødvendigvis har overblik over, hvilke personoplysninger, der er indeholdt i systemerne, og ikke ved, med hvilket formål systemerne arbejder med disse. Som vi skal se nedenfor, er It-afdelingens liste over systemer kun sjældent komplet.

Den forretningsmæssige tilgang

Udover at spørge it-afdelingen kan der være god grund til at spørge de forskelige forretningsenheder, hvilke systemer de bruger. Det kan gøres ved at bede funktionschefer i organisationen lave lister (eller supplere eksisterende lister) over, hvilke systemer man bruger. Ofte vil der i denne proces blive tilføjet en række systemer, fordi forretningen bruger systemer, som it-afdelingen ikke har været involveret i indkøbet af. Forretningen synes muligvis, at it-afdelingen er for langsom eller for ofte siger nej til at bruge forskellige tjenester på internettet, og derfor har de købt løsningerne uden om it-afdelingen. Det er en kendt sag, at cloud-leverandører ofte sælger deres tjenester ind i organisationerne uden om it-afdelingerne af samme grund. Nogle funktionschefer har måske også lidt mere uskyldigt vurderet, at det ikke var relevant at søge hjælp hos it-afdelingen, før de har indkøbt tjenester på nettet.

Organisationen bør have en procedure for, hvordan nye systemer og tjenester indkøbes i organisationen. Det vil bidrage til at sikre en fornuftig GDPR-kortlægning, men det vil også bidrage til, at der købes mere effektivt og strømlinet ind.

Den regnskabsbaserede tilgang

Langt de fleste systemer og tjenester, som organisationen anvender, indebærer en månedlig eller årlig faktura, som regnskabsafdelingen håndterer. Derfor er en alternativ tilgang til sin afdækning af systemerne at spørge regnskabschefen, hvilke leverandører af it-løsninger der er oprettet i regnskabssystemet. Denne tilgang har fordelen, at man kan få en system-genereret liste over leverandørerne, som direkte importeres direkte ind i GDPR-kortlægningssystemer m.v. Listen vil imidlertid næppe være komplet, dels fordi det sjældent er indlysende på baggrund af regnskabsoplysningerne, hvorvidt der er tale om en it-tjeneste (der behandler personoplysninger) og dels fordi en række tjenester ikke betales med penge, men i stedet betales med brugerdata.

I den sidstnævnte kategori er der især på markedsføringsområdet en række tjenester, som organisationen kan abonnere på, og som f.eks. genererer forskellige statistikker til organisationen, hvor betalingen er de data, som genereres af- og i systemet. Mod at stille statistikkerne til rådighed til kan organisationen derefter bruge bruge produktet eller tjenesten til egne formål. Et eksempel på dette kan være en platform som Google Analytics. Samme marketing-afdeling kan anvende teknologier til f.eks. re-targeting (i form af eksempelvis bannerannoncer), der bruger cookies, trackingpixels m.v.

Der kan også være tale om tjenester, som stilles gratis til rådighed af myndighederne, men hvor der alligevel er tale om behandling af personoplysninger. Dette sker i vid udstrækning på HR-området. Videre kan der være tale om, at logistikafdelingen bruger tjenester til tracking af varer og levering heraf. Ingen af disse udløser et bilag under den regnskabsbaserede tilgang, og det er ikke sikkert, at it-afdelingen er bekendt med deres anvendelse. I forhold til de ovenfor nævnte tilgange, er det derfor kun funktionschefernes bidrag til kortlægningen, som vil afsløre disse systemers anvendelse.

Overvågningstilgangen

Tillid er godt, kontrol er bedre og razzia er bedst. Ud over de systemer, som er godkendt et eller andet sted i organisationen, vil der typisk blive anvendt en række øvrige systemer, som kreative medarbejdere selv tager i anvendelse for at løse deres arbejdsopgaver. Det kan også være, at der er funktionschefer, som kommer til at ”glemme” indberetning af anvendelse af systemer eller tjenester. Derfor er det en god ide som supplement til ovenfor nævnte tiltag at få analyseret, hvilke tjenester brugerne faktisk kobler op til på internettet. Der findes forskellige it-systemer kaldet CASB (Cloud Access Security Broker), som analyserer al organisationens udgående trafik og på den baggrund kan vise, hvad der konkret forbindes til af tjenester på nettet. En sådan analyse vil vise, at en lang række marketingstjenester, sociale netværk, e-mailtjenester, onlinebutikker osv. kontaktes af organisationens brugere.

Nogle af tjenesterne anvendes af organisationens ansatte til egne formål. Organisationen bør have en procedure som beskriver, hvad brugerne må anvende af tjenester fra organisationens udstyr. Må brugerne f.eks. gå på Facebook i arbejdstiden? Må brugerne kontakte et russisk socialt netværk fra virksomhedens udstyr? Må medarbejderne bruge datingtjenester? Analysen vil vise, at en række at tjenesterne åbenlyst bruges til at behandle organisationens data. Der skal på den baggrund tages stilling til, om anvendelsen af tjenesterne må fortsætte og dermed skal omfattes af kortlægningen. Alternativt skal der findes andre tjenester til at opfylde brugernes behov, og om de eksisterende tjenester skal blokeres, så der ikke længere er adgang til dem, og behandlingen til de af medarbejderne fastsatte formål skal ophøre. Man skal være opmærksom på, at CASB-løsninger kun afdækker de systemer, som kontaktes på internettet. CASB kan som udgangspunkt derfor ikke anvendes til afdækning af de interne systemer.

Kortlægningens indhold

Kortlægningen af systemlandskabet kaldes ofte for en kortlægning af organisationens informationsaktiver. En sådan kortlægning bør indeholde:

• Systemets navn
• En overordnet beskrivelse af de opgaver systemet opfylder
• Hvem der er leverandør
• Hvem der ejer systemet (evt. en forretningsejer, en teknisk ejer og en direktørejer)
• Hvor kontrakten befinder sig
• Om systemet behandler personoplysninger
• Om der findes en lovlig databehandleraftale
• Om der sker overførsel til tredjelande

Opsummering

Der er mange faldgruber i kortlægningen af organisationens systemer - også kaldet organisationens informationsaktiver. Der findes ikke én metode, som sikrer, at alle systemer kortlægges med sikkerhed, og de forskellige tilgange har hver deres styrker og svagheder. Ved at kombinere ovenstående metoder kan man imidlertid være ret sikker på at komme hele vejen rundt og dermed opnå klarhed over, hvilke systemer, der behandler personoplysninger. 

Links

Læs hvordan Wired Relations kan hjælpe dig med at håndtere leverandører og systemer