Become Compliant

1. Sådan følger du reglerne

GDPR og overholdelse af de regler, der træder i kraft den 25. maj 2018 handler i bund og grund om at sikre to ting:

  • At jeres virksomhed har ret til at behandle persondata
  • At denne behandling sker forsvarligt

For at kunne nå dertil, skal I først have et overblik over, hvilke persondata jeres virksomhed behandler. Hvis I endnu ikke har påbegyndt arbejdet med at gøre jeres virksomhed GDPR-compliant, er det her, I skal starte.

Dataflowbeskrivelse

Målet med denne første fase af arbejdet er at få udarbejdet en dataflowbeskrivelse, der viser virksomhedens behandling af persondata. I skal kort og godt have besvaret:

  • Hvordan jeres persondata kommer ind i virksomheden?
  • Hvor persondata lagres?
  • Hvor data videreformidles hen internt/eksternt – og hvordan?

Denne kortlægning bør tage udgangspunkt i virksomhedens enkelte afdelinger og vil typisk ske på workshops med de personer, der har kendskab til de enkelte afdelingers brug af persondata.

Som et led i denne proces bør I også medtage udveksling af persondata til og fra tredje part. Måske har I databehandler-aftaler med underleverandører, eller måske agerer I selv databehandler for andre virksomheder.

Det er også vigtigt at huske, at de regler, der gælder for behandling af kunders persondata, også gælder for behandling af jeres medarbejderes persondata. Eller sagt med andre ord: GDPR er gældende for alle virksomheder, der har ansatte. Og det er jo alligevel en del.

Kan vi gøre det selv? 

For selv at kunne udarbejde dataflowbeskrivelser skal I have følgende kompetencer i jeres virksomhed:

  • Data: Kendskab til og erfaring med dataprocesser – såkaldt data-governance
  • Procesdokumentation: Erfaring med beskrivelse og dokumentation af processer

Overvejelser om persondata

Den konkrete tilgang til denne opgave vil afhænge meget af, hvorvidt jeres virksomhed behandler almindelige eller følsomme persondata, samt af mængden af persondata, I behandler.
– B2C-virksomheder har ofte store mængder persondata – Offentlige virksomheder har ofte følsomme persondata – B2B-virksomheder har typisk færre persondata
Opgaven i forbindelse med overblik over persondata er ikke mindre vigtig, hvis jeres virksomhed ikke behandler følsomme persondata. Det er dog klart at de virksomheder der gør, har et større ansvar overfor de personer, hvis data de behandler.

Samtykke

Når I har overblik over persondata og kortlagt datastrømme, er næste skridt at fastslå, hvorvidt virksomheden overhovedet har ret til at have disse data.

Samtykkereglerne bliver skærpet fra og med 25. maj 2018, så alle virksomheder bør overveje, hvorvidt det er nødvendigt at bede om samtykke til at opbevare data, de allerede har registreret.

Under reglerne om samtykke, kommer også det særskilte punkt, vi kan kalde for ”De Fem Rettigheder”:

  • Retten til at blive glemt
  • Retten til adgang
  • Retten til dataportabilitet
  • Retten til berigtigelse
  • Retten til at protestere

Det er altså ikke nok, at I spørger om lov til at opbevare persondata. I skal også kunne sikre at personer, der ønsker at gøre brug af ovenstående fem rettigheder, rent faktisk kan det – og dette kan I blive bedt om at dokumentere.

Derfor er det en god idé, at I for alle grupper/typer af persondata udarbejder en dokumenteret proces for, hvordan data er indsamlet/indsamles, hvordan I sikrer samtykke eller anden ret til opbevaring og hvordan I eventuelt vil eksekvere de fem rettigheder.

Vil du vide mere?

Læs her hvorfor CRM-systemer er interessante at behandle, i forhold til de nye persondataregler: GDPR og CRM-systemer samtykke og retten til at blive glemt

Status efter første del af arbejdet

Så langt, så godt. Efter denne første del bør I nu have overblik over den videre opgave. I ved, hvilke persondata I har og hvorfor (formål). I ved også, hvor de findes, hvordan de er blevet registreret og hvor de kan flyde hen.

Desuden har I været igennem de første overvejelser af, hvordan I fremover sikrer, at I har samtykke til behandling af persondata og hvordan I implementerer GDPR’s rettigheder for den registrerede – altså de fem ovenfor nævnte rettigheder.

Næste skridt er at foretage vurderinger af, hvor stor risikoen er, for at de data, I nu har identificeret, kompromitteres.

Risikovurderinger

Første del af opgaven er foregået på afdelingsniveau. Vi bevæger os nu fra afdelingerne ned i de enkelte systemer. Opgaven er her at få kortlagt for hvert enkelt system, hvor stor risikoen er for, at reglerne overtrædes.

Målet med denne opgave er at få et prioriteringsværktøj, der tager hensyn til både reglerne i GDPR og de eksisterende trusler mod datasikkerheden. Det er stadig en skrivebordsopgave – selvom vi nærmer os teknikken.

Kan vi gøre det selv?

For selv at kunne udarbejde risikovurderinger, skal I besidde følgende kompetencer i virksomheden:

  • IT-sikkerhed: Kendskab til de governance-mæssige aspekter af IT-sikkerhed
  • Teknik: Kendskab til teknisk IT-sikkerhed, herunder virksomhedens eksisterende systemer og ikke mindst aktuelle trusler

Hvordan laver man en risikovurdering?

Risiko kan beregnes som:
Risiko = Sandsynlighed (for en hændelse) x Konsekvens (ved den pågældende hændelse)
Typisk vil man anvende en simpel skalamodel til at angive både sandsynlighed og konsekvens, i stedet for reelle tal:
Sandsynlighed (1-4): 1: Ofte, 2: Sandsynligt, 3: Sjældent, 4: Usandsynligt Konsekvens (1-4): 1: Ubetydeligt, 2: Generende, 3: Alvorligt, 4: Uacceptabelt

Hvem udfører risikovurderingen?

En risikovurdering laves som regel i et samarbejde mellem folk med teknisk ansvar og personer med ansvar for forretningen.

It sikkerhedsansvarlige vil vurdere virksomhedens systemer, og sammenholde disse med deres viden om, hvilke trusler der findes. Altså helt konkret: Hvilke typer af trusler vil kunne føre til, at persondata ender i de forkerte hænder, bliver forvanskede eller utilgængelige.

Forretningen vil omvendt kunne vurdere, hvor stor en konsekvens en brist vil have for virksomheden. Er konsekvensen ubetydelig, eller kan den ligefrem true virksomhedens fortsatte eksistens?

Når man for hvert enkelt system eller datasamlinger har gennemført sine risikovurderinger, er det vores anbefaling, at man plotter dem ind i en matrix. Dette vil give det bedste overblik, og gøre den videre prioritering af arbejdet lettere.

Denne matrix kan, eksempelvis, udarbejdes meget enkelt:

Den konkrete anvendelse af risikovurderingerne

Når man arbejder professionelt med risikovurderinger, går man som regel et skridt videre. Det er nemlig vigtigt at opnå viden om hvad virksomheden vægter sikkerhed ud fra, for hvert enkelt system.

Derfor anvender man den såkaldte CIA-model, som trods navnet intet har at gøre med spioner.

CIA står for Confidentiality, Integrity og Availability – på dansk fortrolighed, integritet og tilgængelighed – og er de tre parametre, som et givent system/aktivs sikkerhed måles på. Når man laver risikovurderingerne, vil man således vurdere hver parameter for hvert enkelt system – dog under hensyntagen til, at de tre parametre ikke er lige væsentlige for alle systemer.

Når vi taler om persondataforordningen, er alle de tre parametre væsentlige. Desuden bør man inddrage overvejelser om, hvor robust det pågældende system er. Dette kaldes også resilience.

Download tjeklisten: Sådan udfører du en risikovurdering

Politikker og procedurer

Lad os tage en kort status. Vi har opnået overblik over virksomhedens persondata. Vi har dokumenteret, hvordan vi indsamler persondata. Vi har styr på, hvordan vi får hjemmel til behandlingen, og vi har kortlagt de systemer i virksomheden, der behandler persondata og fastlagt hvor stor risikoen er for hvert enkelt system.

Næste skridt i processen er at få omsat al den opnåede viden til IT-sikkerhedspolitikker og retningslinjer. Dette er vigtigt, fordi IT-sikkerhedspolitikken er det værktøj som gør, at virksomheden kan arbejde målrettet med IT-sikkerhed.

Målet med dette arbejde er således at udarbejde et regelsæt, der sikrer, at virksomheden vil kunne overholde GDPR.

En god måde at opdele IT-sikkerhedspolitikken på er i procedurer og retningslinjer. Sikkerhedsprocedurer er de interne regelsæt, der beskriver arbejdet med sikkerhed. Retningslinjer er de rettesnore, som virksomhedens medarbejdere skal følge. Eksempelvis at man ikke må klikke på links i mails, med mindre man er sikker på afsenderen.

Kan vi gøre det selv?

For selv at kunne udarbejde IT-sikkerhedspolitikker og retningslinjer, skal virksomheden besidde følgende kompetencer:

  • IT-sikkerhed: Kendskab til de data-governance-mæssige aspekter af IT-sikkerhed
  • Teknik: Kendskab til teknisk IT-sikkerhed

ISO 27001

Det er god praksis at basere arbejde med sikkerhedspolitikker på ISO 27001. ISO 27001 er en international standard, der strukturerer arbejdet med informationssikkerhed.

 

Standarden indeholder en lang række kontroller, der hver især adresserer et afgrænset område indenfor informationssikkerhed.

Standarden er en meget bred ramme for arbejdet med informationssikkerhed. Det er op til virksomheden selv at udvælge og implementere de enkelte kontroller set i forhold til det sikkerhedsniveau, der ønskes opnået. Her er IT-risikoanalysen værdifuld input.

Eksempler på sikkerhedspolitik

Lad os se på nogle konkrete eksempler på, hvad en sikkerhedspolitik kan indeholde:

Logning

  • Hvilke systemer og hvilke data skal logges?
  • Hvordan skal disse logs opbevares?
  • Hvordan beskytter vi disse logs?
  • Hvor længe skal de gemmes?
  • Hvem følger op på logs – hvad og hvornår?
  • Dokumentation af procedurer

Patch Management

  • Hvor længe må der gå, fra en patch frigives, til den rulles ud i virksomheden?
  • Risikovurdering af patches
  • Hvem har ansvar for at patche de enkelte systemer?
  • Test af patch
  • Dokumentation af procedurer

Et andet eksempel på en vigtig sikkerhedspolitik med relation til GDPR er medarbejdernes behandling af data på egne devices. Jeres virksomhed har muligvis en politik, der tillader medarbejdere at arbejde på medbragte devices – såkaldt BYOD (Bring Your Own Device). Men under hvilke forudsætninger er det tilladt at behandle persondata på medbragte enheder? Denne sikkerhedspolitik er væsentlig at definere.

Læs 2. del af guiden her: