Fokus på databeskyttelse
Fokus på databeskyttelse
Sådan identificerer I alle jeres systemer og leverandører
Det er vanskeligt at skabe sig et overblik over, hvilke systemer en organisation egentlig bruger. Når man begynder at kortlægge, er det ofte som at åbne Pandoras æske, fordi det viser sig, at der bruges langt flere systemer, end man umiddelbart tror. I denne artikel vil vi berøre, hvordan man kan identificere sine systemer.
Reglerne i GDPR
Persondataforordningen stiller i artikel 30 krav om, at en organisation skal kunne dokumentere sine behandlingsaktiviteter i form af en fortegnelse over behandlingsaktiviteter. Videre stiller forordningen i artikel 5 krav om, at organisationen skal kunne efterleve forordningens grundlæggende principper for behandling. Desuden fastslås det i artikel 24, at det er den dataansvarlige, som har ansvaret for, at forordningen efterleves overordnet set. Derfor har alle organisationer behov for at have en god GDPR-dokumentation. Et solidt udgangspunkt herfor er at identificere og kortlægge de systemer, som organisationen er i besiddelse af (og hvori der behandles personoplysninger). Dette kaldes ofte en fortegnelse over informationsaktiver. Denne fortegnelse kan også være ekstremt nyttigt, når der skal arbejdes med informationssikkerhedstiltag – f.eks. i henhold til ISO27001/2.
Den intuitive tilgang
Når den GDPR-ansvarlige skal i gang med at kortlægge hvilke systemer, som egentlig bruges i organisationen, er det naturligt dels at tage udgangspunkt i, hvad vedkommende selv bruger og dels at tage kontakt til ansvarlige i organisationen, som man på forhånd ved bruger andre systemer end en selv – f.eks. HR- og IT-afdelingerne. På den måde kan den GDPR-ansvarlige forholdsvist hurtigt lave en bruttoliste over de mest anvendte systemer.
Der er imidlertid andre mere systematiske tilgange til at kortlægge systemer, og der er ingen vej udenom at have en systematisk tilgang for uden systematik, vil man typisk ”glemme” en række systemer.
Den tekniske tilgang
En ret systematiseret tilgang til at afdække organisationens systemer er spørge IT-afdelingen, hvilken systemer organisationen anvender. IT-afdelingen ved, hvilke systemer der kører på virksomhedens servere, og hvilke tjenesteydelser på internettet som organisationen har indkøbt. IT-afdelingen kan f.eks. forholdsvist let trække en liste over virtuelle servere og kan lave tilknyttede beskrivelser af disse. IT-afdelingen kan dermed bidrage væsentligt til systembeskrivelsen. IT-afdelingen kan imidlertid kun i begrænset omfang bidrage yderligere til kortlægningen, fordi IT-afdelingen ikke nødvendigvis ved hvilke personoplysninger, der er indeholdt i systemerne, og ikke nødvendigvis ved, med hvilket formål systemerne arbejder. Som vi skal se nedenfor, er IT-afdelingens liste over systemer desuden kun sjældent komplet.
Den forretningsmæssige tilgang
Udover at spørge IT-afdelingen kan der være god grund til at spørge forretningen, hvilke systemer de bruger. Det kan gøres ved at bede at funktionschefer i organisationen lave lister (eller supplere eksisterende lister) over hvilke systemer, de bruger. Ofte vil der i denne proces blive tilføjet en række systemer, fordi forretningen bruger systemer, som IT-afdelingen ikke har været involveret i indkøbet af. Forretningen synes muligvis, at IT-afdelingen er for langsom eller for ofte siger nej til at bruge forskellige tjenester på internettet, og derfor har de købt løsningerne uden om IT-afdelingen. Det er en kendt sag, at cloud-leverandører ofte sælger deres tjenester ind i organisationerne uden om IT-afdelingerne. Nogle funktionschefer har måske også lidt mere uskyldigt vurderet, at det ikke var relevant at søge hjælp hos IT-afdelingen, førend de har indkøbt tjenester på nettet.
Organisationen bør have en procedure for, hvordan nye systemer og tjenester indkøbes i organisationen. Det vil bidrage til at sikre en fornuftig GDPR-kortlægning, men det vil også bidrage til at der købes mere effektivt og strømlinet ind.
Den regnskabsbaserede tilgang
Langt de fleste systemer og tjenester, som organisationen anvender, indebærer en månedlig eller årlig regning. En alternativ tilgang til at afklare, hvilke systemer og tjenester som anvendes, er derfor at spørge regnskabsafdelingen om, hvilke leverandører af IT-løsninger der er oprettet i regnskabssystemet. Denne tilgang har den fordel, at man kan få en systematisk liste over leverandørerne, som direkte kan importeres i GDPR-kortlægningssystemer m.v. Listen vil imidlertid næppe være komplet, dels fordi det næppe altid vil være indlysende på baggrund af regnskabsoplysningerne, at der er tale om en IT-tjeneste (der behandler personoplysninger) og dels fordi en række tjenester ikke betales med penge, men i stedet betales med data.
I den sidstnævnte kategori er der især på markedsføringsområdet en række tjenester, som organisationen kan abonnere på, og som f.eks. genererer forskellige statistikker til organisationen, og hvor betalingen er de data, som genereres i systemet, og som leverandøren mod at stille statistikkerne til rådighed til gengæld kan bruge til egne formål. Samme afdeling kan også anvende forskellige andre teknologier til f.eks. re-targeting (f.eks. bannerannoncer) i form af cookies, trackingpixels m.v. Der kan også være tale om tjenester, som stilles gratis til rådighed af myndighederne, men hvor der alligevel er tale om behandling af personoplysninger. Dette sker i vid udstrækning på HR-området. Videre kan der være tale om, at logistikafdelingen kan bruge tjenester til tracking af varer og levering heraf. Ingen af disse udløser et bilag under den regnskabsbaserede tilgang, og det er ikke sikkert, at IT-afdelingen er bekendt med deres anvendelse. I forhold til de ovenfor nævnte tilgange er det derfor kun funktionschefernes bidrag til kortlægningen, som vil afsløre disse systemers anvendelse.
Rådgivningsformer:
Kortvarige opgaver
Altid ekspertise ved hånden til engangsopgaver
Tilbagevendende projekter
Specialiserede færdigheder og kompetancer
Fuldtidsaftaler
Udvid dit team med en dedikeret medarbejder
Råhovedvej 24 | 4672 Klippinge | CVR-nr. 39 95 21 22
Telefon: 53 81 23 23
© 2018 – 2022 Juritas ApS