Undgå EU-bøder for brud på persondata-reglerne: Her ligger sikkerhedsansvaret i din virksomhed

Når EU's persondataforordning træder i kraft i maj 2018, ligger sikkerhedsansvaret i din virksomhed. Her kan du læse, hvordan forpligtigelserne fordeler sig mellem forretningen og it-afdelingen.

Interview: Den nye EU-persondataforordning, også kaldet databeskyttelsesforordningen, træder i kraft 25. maj 2018, og den har sat tankerne og arbejdet i gang i it-afdelinger over hele Europa.

Konsekvensen af dårlig sikkerhed kan nemlig være kæmpebøder til de virksomheder, der ikke har gjort hjemmearbejdet grundigt nok og opfyldt kravene fra EU.

Men det er ikke kun it-afdelingen, der skal arbejde med at få sikkerheden tilpasset EU-reglerne. Det er i høj grad også forretningen, der skal tage ansvar.

Overblik og kontrol
Forordningen indeholder en lang række krav til virksomheder, der behandler data, som direkte eller indirekte kan relateres til en fysisk person.

De nye regler betyder blandt andet, at virksomheden fremover skal have det totale overblik og kontrol over data-flowet i virksomheden. Hvis der skulle ske et brud på datasikkerheden, skal virksomheder selv inden for en kort tidsramme efter opdagelsen af bruddet informere samtlige ramte organisationer og personer.

I målet for at tæmme den proces er det it, der skal foretage den tekniske sikring af informationerne, men det er forretningen, der skal definere hvilke data, der er sårbare eller ikke sårbare.

Det fortæller Casper Pedersen, der er ekspert i Data Management og EU's forordning (General Data Protection Regulation) i virksomheden SAS institute.

"Der er et fælles grundvilkår for alle virksomheder. Man kan ikke outsource ansvaret. Det ligger i den enkelte virksomhed. Man kan få hjælp og støtte for at nå målet, men ansvaret, for at it-sikkerheden er på plads, er dit eget," siger Casper Pedersen til Computerworld.

For at leve op til kravene anbefaler han, at man angriber opgaven helt lavpraktisk.

"Start med at analysere de simpleste dele af din it-infrastruktur og lær, hvad du skal gøre for at opfylde kravene. Starter du med at gå i gang med at strukturere data i et kæmpe it-system, så er det svært at holde overblikket og i stedet for lære noget, så er der en risiko for, at du bliver forvirret og usikker," siger han og fortsætter:

"Mange vil sikkert opleve, at det slet ikke står så slemt til. Det er i hvert fald den erfaring, jeg har. Men der er kun en måde at finde du af det på, og det er ved at kigge på sit indhold, arbejdsgange og sine procedurer. Modsat kan nogle firmaer også opleve, at de har de samme data liggende flere forskellige steder, fordi man sjældent sletter informationer i en moderne virksomhed."

Hvad skal man så gøre med de personfølsomme data i netværket?

"Der er to forskellige muligheder. Du kan kryptere de meget følsomme data, eller du kan pseudonymisere data. Det sidste kan beskrives som en kryptering, der kan spoles tilbage af de relevante medarbejdere, som skal anvende informationerne. Alle andre er udelukkede fra at se dem."

Skal man også slette data?

"Ja, det kan sagtens være nødvendigt. Det giver ofte også god mening at få ryddet op, og der er eksempelvis regler for samtykke i forbindelse med brug af persondata. Samtidig giver EU-forordningen også brugeren retten til at få alle data eller historik slettet. Men det er først noget, man skal se på, når det basale dataarbejde er på plads."

Kan du give et eksempel på, hvilke data en bruger kan ønske slettet?

"Det kan eksempelvis være informationer, som HR-afdelingen har. Informationer på gamle medarbejdere eller fra uopfordrede ansøgninger."

Fem ansvarsområder
Casper Pedersen peger på fem led, der skal gennemgås for at nå frem til at overholde EU's regler, og han sætter ansvar på hver af arbejdsgangene.

Du kan læse mere om, hvordan du forbereder din virksomhed til General Data Protection Regulation (GDPR) her: Fem gode råd: Sådan kommer du i gang med den nye EU-persondataforordning

Læs også: CSC's sikkerhedsdirektør: Ni ud af ti sikkerhedshændelser opstår på grund af manglende hjemmearbejde

Den fysiske adgang til data og systemer: Her ligger ansvaret både i it og i forretningen. Forretningen skal fortælle hvilke data, der er tale om, og it-skal sørge for, at det er de rigtige personer, der har adgang til data.

Definition af indhold af data: Her ligger ansvaret i forretningen, der ved, hvad data anvendes til og i hvilken proces, de bruges.

Identifikation af data: Når data anvendes og fortolkes, er det forretningen, der har ansvaret, mens it skal sikre leveringen af de korrekte data fra de rigtige systemer. Der er således tale om et fælles ansvar, når man samler trådene.

Beskyttelse af data: Det er en teknisk disciplin, der skal håndteres af it efter retningslinjer fra forretningen. Ansvaret, for at data ikke bliver kompromitteret, ligger således i it.

Kontrol og dokumentation af at reglerne overholdes: Det er it, der skal stå for de automatiserede processer. Hvis der opstår problemer eller uoverensstemmelser mellem arbejdsgange og regler, kan det både være it eller forretningen, der skal løse dem.

Hvor langt er danske virksomheder fra at opfylde kravene fra EU?

"Danmark er, som i mange andre EU-spørgsmål, den gode dreng i klassen. Banker og teleindustrien er eksempelvis rigtig godt på vej. Der er dog udfordringer for nogle myndigheder som eksempelvis kommunerne, fordi der er mange følsomme oplysninger, der anvendes af mange forskellige brugere af de kommunale systemer. Det er svært at holde overblikket i de komplekse løsninger. Men vi er blandt de lande, der er tættest på målet."

Computerworld afholder 15. december et gratis seminar om EU-persondataforordningen. Læs mere om programmet og tilmeld dig her:  Kom godt i gang med EU-persondataforordningen.

Læs også:
CSC's sikkerhedsdirektør: Ni ud af ti sikkerhedshændelser opstår på grund af manglende hjemmearbejde

Fem gode råd: Sådan kommer du i gang med den nye EU-persondataforordning

Den nye EU-persondataforordning er på vej: Bliv klar til forordningen på Computerworlds store heldags-seminar




Premium
TDC trak sig fra fiberudrulning og smækkede med døren i Slagelse Kommune: Nu graver TDC igen i kommunen
Efter flere måneders stridigheder mellem TDC og Slagelse Kommune valgte teleselskabet af afblæse fiberudrulningen i byen. Nu viser det sig, at Danmarks største teleselskab igen graver fibernet ned i kommunen.
Computerworld
YouSee lancerer ny streamingtjeneste i Danmark
Efter sommerferien går YouSee i luften med et nyt streamingtilbud til danskerne, der beskrives som et af verdens mest streamende folkefærd.
CIO
Torben Fabrin og Arla måtte på få dage omstille hele deres produktion da coronaen ramte
Da coronaen ramte verden måtte mejerigiganten Arla på få dage omstille sin produktion. Samtidig voksede salget massivt til supermarkeder mens institutioner og restauranter gik næsten i stå. Hør hvordan Arla kom gennem krisen ved blandt andet være klar med realtime analytics.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
Sådan gør du dig klar til at skifte til cloud-løsninger
Med cloud-baseret infrastruktur har du mulighed for at kombinere høj pålidelighed med en skalerbar tilgang. Samtidig kan du sandsynligvis også reducere kompleksiteten i dit setup og dermed opnå mærkbare forbedring inden for sikkerhed og vedligeholdelse. Selve skiftet til cloud-baseret infrastruktur kan dog være kompliceret. Både for it, men også for den organisation og forretning der skal understøttes. I denne korte ebog kan du derfor få en række ideer og indspark til at sikre at din cloud-transformation er så effektiv og sikker som mulig.