Fem teknologi-tips, der hjælper dig med at opfylde reglerne i EU-persondataforordningen

Klumme: I vores dialog med virksomhederne efterlyses et konkret overblik over, hvordan arbejdet skal gribes an. Og jeg hæfter mig ved, at 25. maj 2018 ofte opfattes som en slags startdato for GDPR og ikke en klar-dato, som det reelt er.

Her efter sommerferien skal virksomhederne have forretningen tilbage i gear. Et af de øverste emner på ledelsesagendaen er GDPR (General Data Protection Regulation) - også kendt som EU-persondataforordningen.

De færreste er uvidende om, at der 25. maj næste år skal være styr på personhenførbare data og de underliggende processer.

Mange virksomheder har da også brugt de seneste (mange) måneder på at forstå, hvad der skal gøres. Og nu er tiden så kommet til, at de skal vælge de teknologier, der skal sikre implementeringen og den løbende overholdelse af reglerne. Med andre ord skal virksomhederne bevæge sig fra teori til praksis.

Krav til teknologierne
Hvad er det præcist, teknologierne skal kunne?

Ja, for det første skal de understøtte kravet om, at databeskyttelse skal være omdrejningspunktet i virksomhedens informationsprocesser.

Vi taler også teknologier, der skal drive de nye brugerrettigheder som for eksempel “retten til at blive glemt”. Derudover handler det om teknologier, der skal dokumentere, hvor data befinder sig, hvordan de bliver indsamlet og lagret, og hvem der har adgang til dem. Og endelig skal teknologierne sørge for, at virksomhedens identitets-politikker og -værktøjer er både gennemsigtige og dokumenterede og leverer den sikkerhed, der er kernen i et GDPR compliance-projekt.

Jeg har listet fem teknologi-tips, der kan hjælpe dig på vej til at blive compliant med EU-persondataforordningen.

Tip 1: Identificering og håndtering af data
Som noget af det første skal du kortlægge følsomme persondata på tværs af din organisation og sikre dem mod uautoriseret adgang.

Der findes teknologier, som kan identificere og kontrollere følsomme persondata, både når de ligger stille hen, når de er i bevægelse, og når de er i aktiv brug. 

Du kan begynde med at klassificere jeres applikationer og lave en strategi for hver af kategorierne.

Så kan forretningen nemlig nikke af til, at I begynder med de kritiske applikationer først. 

Hvis du har skullet dokumentere for eksempel driftshåndbøger, har du sandsynligvis allerede været igennem denne øvelse. 

Og så kan du hurtigere finde frem til data og få overblik over, hvem der har adgang til dem.

Hvis ikke, ja, så er det en kærkommen lejlighed til at få denne del af forretningen undersøgt og dokumenteret.

Tip 2: Governance omkring identitet og adgange
Det er en god idé at styre brugeridentitet og adgangsstyring fra centralt hold - særligt, når det gælder de privilegereder brugere.

Med teknologi kan du automatisere hele brugerstyringen og få indblik i, hvem der har adgang til hvilke data og på den måde opnå større effektivitet og produktivitet blandt brugerne samt compliance med GDPR.

Der er mange virksomheder - både offentlige og private - som bruger teknologi til attestering og validering af eksisterende adgange, men også til at beskrive og overholde den governance-proces, man opstiller for virksomhedens brugeradgangskontrol.

Tip 3: Styring af privilegerede adgange og trusselsanalyser
Hvis I oplever et databrud, skal du som DPO (Data Protection Officer) rapportere hændelsen til myndighederne senest 72 timer efter, at bruddet har fundet sted.

Der findes teknologier, der kan hjælpe dig med at håndtere adgangen for de privilegerede brugere og på den måde bedre beskytte de privilegerede aktiviteter og gøre det nemmere at opdage og rapportere brud på datasikkerheden.

Jeg har selv ved flere lejligheder arbejdet sammen med virksomheder om netop PAM (Privileged Access Management).

Det har været imponerende at se, hvor hurtigt og effektivt disse ellers meget omfattende projekter faktisk kan komme op at køre. Der er eksempler på PAM-projekter, som har givet reel værdi på bare få uger.

Tip 4: Test data management og syntetiske data
Test data management (TDM) er en teknologi, der går ud på at levere, distribuere og håndtere de testdata, som især udviklerne arbejder med og er afhængige af. En sikker og effektiv håndtering af testdata er et vigtigt, men lidt overset element i det at blive compliant med GDPR.

Ved at bruge teknologi til at levere syntetiske data undgår du de fælder, der normalt er forbundet med maskerede produktionsdata.

Jeg har set flere eksempler på data, som bliver maskeret forkert og derved stadig indeholder produktionsdata. Jeg har også været vidne til flere test-årsværk, som har skullet skrives om, fordi produktionsdata har ændret sig. Eller sågar manglende test på grund af manglende data.

Tip 5: API management
API-management er platformen i enhver arkitektur, der skal opfylde GDPR - ikke bare 25. maj 2018, men også efterfølgende.

Det er en teknologi, der gør dig i stand til hurtigt og nemt at implementere reglerne for samtykke, ligesom du kan informere brugerne om de regler, der knytter sig til dataadgang og dataportabilitet.

I dag er mange services bygget på integration mellem flere forskellige systemer og har derfor behov for øget sikkerhed og kontrol. 

Betydning for forretningen
GDPR kommer til at påvirke store dele af din forretning.

Fra måden du indsamler og bruger følsomme persondata på over måden, du behandler og lagrer data på til måden, hvorpå du overfører data til lande uden for Europa. De fem tips kan guide dig i retning af at dokumentere livscyklen for dine data og indføre kontroller, der sikrer og beskytter data og måden, de bliver brugt og tilgået på.

God fornøjelse.





Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...
mest debaterede artikler

Premium
Hjalp virksomheder Atea med at klage over omstridt udbud i Region Sjælland? Forsvarer udpeger Ib Kunøe som fællesnævner
Der indløb klager fra flere it-selskaber, da Region Sjælland i 2015 udpegede 3A-it som vinder af et stort it-udbud foran næsen af Atea. Det pudsige er, at klagerne var næsten ens. Forsvarer i Atea-sagen peger på et interessant sammenfald - Ib Kunøe.
Computerworld
Fona-ejer skal betale million-beløb tilbage: Hævede 22 millioner kroner lige inden krak
Fona-ejeren Elkjøp Nordic trak uretmæssigt 22 millioner kroner ud af selskabet lige inden salget af den kendte kæde gik ned med flaget.
CIO
Her er tre vigtige spørgsmål, som du altid bør stille til sælgere af it-systemer
Klumme: Softwareudviklere elsker at hade sælgere, der generelt er lidt for glatte, lidt for smilende, lidt for hjertelige og også dygtige til at undvige eller parere, når man fagligt argumenterer for sine forbehold overfor det system, man lige har fået præsenteret og lynhurtigt har spottet ikke vil fungere.
Job & Karriere
Regeringen vil gøre it-undervisning obligatorisk i folkeskolen: "Planen er, at alle danske børn skal lære at kode," siger undervisningsministeren
Interview: Regeringen indfører obligatorisk undervisning i it i folkeskolen på alle klassetrin og præsenterer fredag ny plan. Ny forsøgsordning i op til 50 skoler skal bane vejen. “Visionen for planen er, at alle danske børn skal lære at kode,” siger undervisningsminister Merete Riisager (LA).
White paper
Sådan virker Oracles svar på konvergeret infrastruktur i virkeligheden
Den såkaldte konvergerede infrastruktur, som sammensmelter software og hardware i datacenteret, er en populær metode til at effektivisere driften. En anden metode er Oracles Exadata Database Machine, som bygger på hardware specialsyet til databasesoftware, der sigter på at optimere databasens performance og gøre administrationen mere simpel. Men hvordan virker det i virkeligheden? Analysehuset IDC har undersøgt sagen blandt kunder, der bruger systemet, og resultaterne kan du læse i dette meget grundige whitepaper på 16 sider sponseret af Oracle. Business Value of Oracle Exadata Database Machine, whitepaper fra IDC, 16 sider på engelsk, oktober 2016. Få samtidig to infografik-filer fra om exadata fra Oracle.