Sikkert nok? Blogg om informasjonssikkerhet

GDPR: Du trenger ikke lage en dataflytanalyse – en oversikt over behandlingsaktivitetene dine er nok

[fa icon="calendar"] 10. juli 2017 / av Jakob Holm Hansen

Er du i full gang med GDPR-forberedelsene dere skal gjøre, men henger fast i utarbeidelsen av dataflytanalysen? Les da videre her. Du trenger nemlig ikke gjøre mer enn det som er nødvendig. Og en dataflytanalyse er ikke nødvendig.

Det er ikke noen som helt vet hvordan ryktet har oppstått, men på et tidspunkt var det en utbredt oppfatning i profesjonelle kretser at det skulle utarbeides såkalte dataflytanalyser som en del av GDPR-forberedelsen.

Det har formentlig startet som en overfortolkning av lovteksten, og så har denne oppfatningen bare blitt hengende. Men faktum er at EUs personvernforordning ikke krever at det skal utarbeides en dataflytanalyse. Det står der at man skal lage en oversikt over behandlingsaktiviteter, og det er noe annet.

Det danske Justitsministeriet har dessuten nylig uttalt følgende om oversiktskravet: ”Kravet er ikke tiltænkt som en ”belastning” og medfører ikke i sig selv et krav om udarbejdelse af større analyser af datastrømme mv.”

Veiledning: GDPR - Håndtering av brudd på personopplysningssikkerheten i tre  faser 

Dataflytanalyse kan vise seg å bli et sisyfosarbeid

En dataflytanalyse gir et totalbilde av hele it-landskapet – f.eks. nettverk, infrastruktur, datalagring, databaser osv. – og hvordan data flyter gjennom og mellom alle applikasjoner, noen ganger helt nede på tabellnivå.

Hvis man har bare en ørliten kompleksitet i it-systemet sitt – og det har de fleste – så er det en gigantisk oppgave. Det er ikke uvanlig at f.eks. en kommune bruker 200–300 forskjellige systemer.

Og fordi en dataflytanalyse skal løpende vedlikeholdes, kan man begynne forfra med det samme man er ferdig. Det er et sisyfosarbeid.

Behandlingsaktiviteter er overkommelige

En dataflytanalyse kan være en god øvelse å gjøre for noen virksomheter på et eller annet nivå. Men når nå EUs personvernforordning ikke krever at man skal gjøre det, så er det ingen grunn til å bruke all sin tid og alle sine krefter på det.

En oversikt over alle behandlingsaktiviteter er en langt mer overkommelig oppgave. En oversikt over alle behandlingsaktiviteter forteller grovt sagt hvordan man behandler sine persondata og i hvilke prosesser.

Gjør kun det som er nødvendig

I Neupart anbefaler vi generelt at man kun gjør det som er nødvendig når det gjelder GDPR. Ellers drukner man lett i oppgaver.

I stedet for å bli sittende fast i en stor, utstudert dataflytanalyse er det mer fornuft i at man lager en oversikt over alle behandlingsaktiviteter, slik at man kan komme i gang med noen av de mange andre forberedelsene til GDPR.

Sjekkliste for behandlingsaktiviteter

Alle krav til en oversikt over behandlingsaktiviteter står i EUs personvernforordning artikkel 30. Som dataansvarlige skal dere kunne dokumentere:

  • Navn på og kontaktinformasjon om den dataansvarlige
  • Beskrivelse av formålet med behandlingen
  • Beskrivelse av kategorier av registrerte, kategorier av personopplysninger og ev. kategorier av mottakere av personopplysninger (medregnet mottakere i tredjeland eller internasjonale organisasjoner)
  • Der det er relevant: overføringer av personopplysninger til tredjeland eller internasjonale organisasjoner
  • Periode for behandling, samt, hvis det er mulig, de forventede tidsfrister for sletting av de forskjellige kategorier av opplysninger
  • Hvis det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene

Dette erstatter for øvrig den meldeplikten man hittil har hatt, og hvis dere allerede har laget meldinger til Datatilsynet, kan disse i stor grad gjenbrukes som oversikter over behandlingsaktiviteter.

Les originalteksten til personvernforordningen her

Mer om behandlingsaktiviteter

Du finner her en revidert utgave av Neuparts veiledning til implementering av personvernforordningen. Veiledningen bygger på en 7-trinnsmodell, der en oversikt over behandlingsaktiviteter nettopp inngår i trinn 1 – Identifikasjonsfasen.

Last ned veiledningen 

Les mer om Neuparts GDPR-modul og se hvordan du systemunderstøtter oversikten dere lager over behandlingsaktiviteter. 

Emner: personvernforordningen, GDPR

Sikkert nok?

Neupart blogg er gode råd og kunnskap om effektiv IT-sikkerhet, IT-sikkerhetsstrategier, risikostyring, etterlevelse av standarder og andre krav, beredskapsplanlegging, ISO2700x, EU personvern, PCI DSS, etc.

Populære innlegg