Sikker nok? Blog om informationssikkerhed

Kære it-chef: GDPR er ikke dit ansvar, men din opgave

[fa icon="calendar"] 12. oktober 2017 / af Jakob Holm Hansen

Hjælp til selvhjælp. Sådan kan Neuparts opfordring til it-chefer i både private og offentlige virksomheder bedst beskrives. Neupart har udarbejdet en intern spørgeramme, som it-chefen kan anvende i forberedelserne til GDPR. Få de 5 vigtigste spørgsmål her.

GDPR er et godt eksempel på, hvor vigtigt det er at definere en opgave, inden man begynder at løse den.

GDPR handler i sin essens om virksomheders beskyttelse af persondata. Men for at kende svaret på, hvordan en virksomhed beskytter persondata, er man nødt til at vide, hvorfor virksomheden ligger inde med netop de persondata. Årsagen går med andre ord forud for håndteringen.

Lige nu lander GDPR-opgaven ofte på it-chefens bord og skaber forståeligt nok frustration. For man kan ikke forlange, at en it-chef kan svare på, hvorfor virksomheden indsamler, opbevarer og eventuelt deler visse persondata. En it-chef kan forventes at svare på, hvordan man systemunderstøtter håndteringen af visse persondata, og om disse data er sikret forsvarligt.

Ledelsen skal have svarene

Så hvordan definerer man GDPR-ansvaret og -opgaven? Det kan sikkerhedsspecialisterne i Neupart hjælpe med at svare på.

“GDPR skal defineres som et ledelsesansvar. Entydigt.”
Jakob Joensen, konsulentchef i Neupart


GDPR skal defineres som et ledelsesansvar. Entydigt. Det er ledelsens ansvar at svare på, hvorfor virksomheden håndterer persondata, hvilke persondata der er tale om, og hvilken lovhjemmel virksomheden er underlagt,” siger Jakob Joensen, konsulentchef i Neupart.

Styr på behandlingsaktiviteterne

Selvom efterlevelse af kravene i GDPR altså ikke er it-afdelingens ansvar, kan man som it-chef godt blive bedt om at påtage sig den opgave at implementere GDPR i organisationen. Og det må man affinde sig med.

Vi lever i virkelighedens verden, så selvfølgelig skal en it-chef sige ja, hvis chefen beder om det. Men lige efter man har sagt ja, gør man klogt i at bede om en række informationer som forudsætning for, at man kan løse opgaven,” siger Jakob Joensen.

Rækken af informationer skal dels bruges til det, der i GDPR-jargon hedder en ʽfortegnelse over behandlingsaktiviteter’. Det er en fortegnelse, der fortæller, hvordan virksomheden behandler sine persondata og i hvilke processer. Og de skal dels levere svar på, hvordan virksomheden håndterer klassiske it-sikkerhedskrav såsom brugerstyring, kryptering, logning m.m. Kombineret med viden om samtykke, kontrakter, lovhjemmel eller årsager til databehandlingen er formålet med hele øvelsen at identificere, hvilke kilder der skal gennemgås for at stille konkrete krav til den tekniske sikkerhed, der understøtter behandlingen.

Lav en gap-analyse

Hvis ikke fortegnelsen over behandlingsaktiviteter eksisterer i forvejen, skal den produceres med hjælp fra alle de områdeansvarlige i virksomheden. Det være sig HR-chefen, salgschefen, marketingchefen osv. De ved hver især, i hvilke processer der indgår persondata, og hvilken klassificering disse data har. Altså, hvor følsomme de er.

Forskellen mellem, hvad en virksomhed gør i dag, og hvad den bør gøre i henhold til GDPR, resulterer i en gap-analyse.

“Hvis it-chefen ikke kan skaffe de informationer, han har brug for, er der et gap. Hvis det, it-chefen får at vide, mens han indsamler data, konflikter med lovgivningen, er der et gap. Hvis der er behandlingsaktiviteter med persondata, som ikke tager højde for at beskytte og begrænse adgangen til disse data, er der et gap, osv.,” siger Jakob Joensen.

5 vigtigste spørgsmål

I et forsøg på at hjælpe it-chefen med at hjælpe sig selv og resten af sin organisation, har Neupart udarbejdet en spørgeramme, man kan anvende i kortlægningsfasen. Her er de 5 vigtigste spørgsmål fra spørgerammen:

  • Hvilken type af persondata håndterer vi?
  • Hvordan skal disse persondata klassificeres i forhold til, hvor følsomme de er?
  • Hvilken lovgivning er persondataene underlagt?
  • Hvad er vores lovhjemmel til at opbevare og håndtere persondataene?
  • Hvilke databehandlinger laver vores it-systemer for os i relation til persondata?

Få mere viden

På webinaret Secure ISMS demo viser vi hvordan du kan leve op til både GDPR og ISO 27001, men også hvordan du nemmere opretter din sikkerhedshåndbog og dine beredskabsplaner, udfører risikovurderinger og håndterer risici m.m. Secure ISMS er Neuparts Information Security Management System.

Læs mere og tilmeld dig her


På webinaret 
EU persondatabeskyttelse - sådan dokumenterer du din organisations efterlevelse giver vi vores anbefalinger til, hvordan du efterlever kravene og hvordan du dokumenterer din organisations efterlevelse. Vi kommer bl.a. ind på gap-analysen, DPIA og årshjul.

Læs mere og tilmeld dig her

 

isms_demo_da_720x296.jpg

Emner: GDPR, ledelse af it-sikkerhed

Sikker Nok?

Neuparts blog er gode råd og viden om effektiv it-sikkerhedsledelse, it-sikkerhedsstrategier, risikostyring, efterlevelse af standarder og andre krav, beredskabsplanlægning, ISO2700x, EU persondatakrav, PCI DSS etc.

Populære indlæg