Undgå EU-bøder for brud på persondata-reglerne: Her ligger sikkerhedsansvaret i din virksomhed

Når EU's persondataforordning træder i kraft i maj 2018, ligger sikkerhedsansvaret i din virksomhed. Her kan du læse, hvordan forpligtigelserne fordeler sig mellem forretningen og it-afdelingen.

Interview: Den nye EU-persondataforordning, også kaldet databeskyttelsesforordningen, træder i kraft 25. maj 2018, og den har sat tankerne og arbejdet i gang i it-afdelinger over hele Europa.

Konsekvensen af dårlig sikkerhed kan nemlig være kæmpebøder til de virksomheder, der ikke har gjort hjemmearbejdet grundigt nok og opfyldt kravene fra EU.

Men det er ikke kun it-afdelingen, der skal arbejde med at få sikkerheden tilpasset EU-reglerne. Det er i høj grad også forretningen, der skal tage ansvar.

Overblik og kontrol
Forordningen indeholder en lang række krav til virksomheder, der behandler data, som direkte eller indirekte kan relateres til en fysisk person.

De nye regler betyder blandt andet, at virksomheden fremover skal have det totale overblik og kontrol over data-flowet i virksomheden. Hvis der skulle ske et brud på datasikkerheden, skal virksomheder selv inden for en kort tidsramme efter opdagelsen af bruddet informere samtlige ramte organisationer og personer.

I målet for at tæmme den proces er det it, der skal foretage den tekniske sikring af informationerne, men det er forretningen, der skal definere hvilke data, der er sårbare eller ikke sårbare.

Det fortæller Casper Pedersen, der er ekspert i Data Management og EU's forordning (General Data Protection Regulation) i virksomheden SAS institute.

"Der er et fælles grundvilkår for alle virksomheder. Man kan ikke outsource ansvaret. Det ligger i den enkelte virksomhed. Man kan få hjælp og støtte for at nå målet, men ansvaret, for at it-sikkerheden er på plads, er dit eget," siger Casper Pedersen til Computerworld.

For at leve op til kravene anbefaler han, at man angriber opgaven helt lavpraktisk.

"Start med at analysere de simpleste dele af din it-infrastruktur og lær, hvad du skal gøre for at opfylde kravene. Starter du med at gå i gang med at strukturere data i et kæmpe it-system, så er det svært at holde overblikket og i stedet for lære noget, så er der en risiko for, at du bliver forvirret og usikker," siger han og fortsætter:

"Mange vil sikkert opleve, at det slet ikke står så slemt til. Det er i hvert fald den erfaring, jeg har. Men der er kun en måde at finde du af det på, og det er ved at kigge på sit indhold, arbejdsgange og sine procedurer. Modsat kan nogle firmaer også opleve, at de har de samme data liggende flere forskellige steder, fordi man sjældent sletter informationer i en moderne virksomhed."

Hvad skal man så gøre med de personfølsomme data i netværket?

"Der er to forskellige muligheder. Du kan kryptere de meget følsomme data, eller du kan pseudonymisere data. Det sidste kan beskrives som en kryptering, der kan spoles tilbage af de relevante medarbejdere, som skal anvende informationerne. Alle andre er udelukkede fra at se dem."

Skal man også slette data?

"Ja, det kan sagtens være nødvendigt. Det giver ofte også god mening at få ryddet op, og der er eksempelvis regler for samtykke i forbindelse med brug af persondata. Samtidig giver EU-forordningen også brugeren retten til at få alle data eller historik slettet. Men det er først noget, man skal se på, når det basale dataarbejde er på plads."

Kan du give et eksempel på, hvilke data en bruger kan ønske slettet?

"Det kan eksempelvis være informationer, som HR-afdelingen har. Informationer på gamle medarbejdere eller fra uopfordrede ansøgninger."

Fem ansvarsområder
Casper Pedersen peger på fem led, der skal gennemgås for at nå frem til at overholde EU's regler, og han sætter ansvar på hver af arbejdsgangene.

Du kan læse mere om, hvordan du forbereder din virksomhed til General Data Protection Regulation (GDPR) her: Fem gode råd: Sådan kommer du i gang med den nye EU-persondataforordning

Læs også: CSC's sikkerhedsdirektør: Ni ud af ti sikkerhedshændelser opstår på grund af manglende hjemmearbejde

Den fysiske adgang til data og systemer: Her ligger ansvaret både i it og i forretningen. Forretningen skal fortælle hvilke data, der er tale om, og it-skal sørge for, at det er de rigtige personer, der har adgang til data.

Definition af indhold af data: Her ligger ansvaret i forretningen, der ved, hvad data anvendes til og i hvilken proces, de bruges.

Identifikation af data: Når data anvendes og fortolkes, er det forretningen, der har ansvaret, mens it skal sikre leveringen af de korrekte data fra de rigtige systemer. Der er således tale om et fælles ansvar, når man samler trådene.

Beskyttelse af data: Det er en teknisk disciplin, der skal håndteres af it efter retningslinjer fra forretningen. Ansvaret, for at data ikke bliver kompromitteret, ligger således i it.

Kontrol og dokumentation af at reglerne overholdes: Det er it, der skal stå for de automatiserede processer. Hvis der opstår problemer eller uoverensstemmelser mellem arbejdsgange og regler, kan det både være it eller forretningen, der skal løse dem.

Hvor langt er danske virksomheder fra at opfylde kravene fra EU?

"Danmark er, som i mange andre EU-spørgsmål, den gode dreng i klassen. Banker og teleindustrien er eksempelvis rigtig godt på vej. Der er dog udfordringer for nogle myndigheder som eksempelvis kommunerne, fordi der er mange følsomme oplysninger, der anvendes af mange forskellige brugere af de kommunale systemer. Det er svært at holde overblikket i de komplekse løsninger. Men vi er blandt de lande, der er tættest på målet."

Computerworld afholder 15. december et gratis seminar om EU-persondataforordningen. Læs mere om programmet og tilmeld dig her:  Kom godt i gang med EU-persondataforordningen.

Læs også:
CSC's sikkerhedsdirektør: Ni ud af ti sikkerhedshændelser opstår på grund af manglende hjemmearbejde

Fem gode råd: Sådan kommer du i gang med den nye EU-persondataforordning

Den nye EU-persondataforordning er på vej: Bliv klar til forordningen på Computerworlds store heldags-seminar




Premium
Digitalisering har været motoren: Landets største virksomheder har hævet produktiviteten med 10 milliarder kroner under corona
Corona-krisen har ført til øget produktivitet og en øget digital indsats. Ny undersøgelse dokumenterer sort på hvidt, at produktiviteten for en række virksomheder er øget under corona.
Computerworld
Det nye MitID er et tigerspring for bedre cybersikkerhed
Klumme: Det nye MitID er en enestående mulighed for et markant løft af it-sikkerheden i danske kommuner. Med baggrund i udfasningen af det nuværende NemID kan de samtidig forbedre og styrke deres it-systemers værn overfor cyberangreb.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
Job & Karriere
Regner din ferie væk? Brug tiden på at søge en af disse otte stillinger, der er ledige netop nu
Det sjasker ned over hele Danmark. Du kan bruge de våde sommerdage på at søge et af disse otte job, der er ledige lige nu.
White paper
Optimér netværket til håndtering af hybrid- og multicloud infrastruktur
I januar 2020 konstaterede Gartner, at cloudcomputing var blevet ”The New Normal” – og op gennem året gjorde Covid-19 det endda helt essentielt at være i stand til at drifte infrastrukturen helt eller delvist fra skyen. Situationen har tvunget virksomheder til hastigt at omstille eller gentænke deres driftsstrategi, og hybride infrastrukturmodeller er nu mere udbredte end nogensinde før. Men mange har også været nødt til at erkende, at den stigende kompleksitet – i særdeleshed på det netværks- og sikkerhedsbaserede felt – stiller helt nye krav til de organisationer, der anvender dem. Denne hvidbog går i dybden med nogle af de mest udbredte udfordringer, som disse transformationsscenarier stiller din organisation overfor. Den giver et solidt bud på, hvordan en netværkshub baseret på Interxion-teknologi gør det muligt at gentænke og optimere netværksinfrastrukturen. Særligt med henblik på at optimere den til at kunne håndtere en hybrid- eller multicloudbaseret infrastruktur.