GDPR er et godt eksempel på hvor viktig det er å definere en oppgave før man begynner å løse den.
EU Personvernforordningen handler i sin essens om at virksomheter må beskytte sine persondata. Men for å komme fram til et svar på hvordan en virksomhet skal beskytte persondata, er man nødt til å vite hvorfor virksomheten sitter inne med nettopp disse persondataene. Årsaken må med andre ord klarlegges forut for håndteringen.
Nettopp nå havner GDPR-oppgaven ofte på it-sjefens bord, og skaper forståelig nok frustrasjon. For man kan ikke forlange at en it-sjef skal kunne svare på hvorfor virksomheten samler inn, oppbevarer og eventuelt deler visse persondata. En it-sjef kan forventes å svare på hvordan man systemunderstøtter håndteringen av visse persondata, og om disse dataene er forsvarlig sikret.
Ledelsen skal ha svarene
Så hvordan definerer man GDPR-ansvaret og -oppgaven? Det kan vi hjelpe med å svare på.
“GDPR skal defineres som et ledelsesansvar. Entydig. Det er ledelsens ansvar å svare på hvorfor virksomheten håndterer persondata, hvilke persondata det er tale om, og hvilken lovhjemmel virksomheten er underlagt”, sier Jakob Holm Hansen, CEO.
Få oversikt over behandlingsaktivitetene
Selv om det altså ikke er it-avdelingens ansvar at virksomheten etterlever kravene i Personvernforordningen, kan man som it-sjef godt bli bedt om å påta seg oppgaven med å implementere GDPR i organisasjonen. Og det må man bare akseptere.
“Vi lever i virkelighetens verden, så selvsagt skal en it-sjef si ja hvis sjefen ber om det. Men straks etter at man har sagt ja, gjør man klokt i å be om en rekke opplysninger som vil være en forutsetning for at man skal kunne løse oppgaven”, sier Jakob Joensen.
Rekken av opplysninger skal for det første brukes for å utarbeide det som i GDPR-sjargong heter en ʽfortegnelse over behandlingsaktiviteter’. Det er en fortegnelse som forteller hvordan virksomheten behandler sine persondata, og i hvilke prosesser. Og for det andre skal opplysningene kunne gi svar på hvordan virksomheten håndterer klassiske it-sikkerhetskrav, som for eksempel brukerstyring, kryptering, logging m.m. Kombinert med kunnskap om samtykke, kontrakter, lovhjemmel eller årsaker til databehandlingen er formålet med hele informasjonsinnsamlingen å identifisere hvilke kilder man må gjennomgå for å stille konkrete krav til den tekniske sikkerheten som understøtter behandlingen.
Lag en gap-analyse
Hvis det ikke allerede finnes en fortegnelse over behandlingsaktiviteter, må den produseres med hjelp fra alle de områdeansvarlige i virksomheten, det være seg HR-sjefen, salgssjefen, markedsføringssjefen osv. De vet hver på sitt felt i hvilke prosesser det inngår persondata, og hvilken klassifisering disse dataene har. Altså hvor følsomme de er.
Forskjellen mellom hva en virksomhet gjør i dag, og hva den bør gjøre i henhold til GDPR, skal resultere i en gap-analyse.
“Hvis it-sjefen ikke kan skaffe den informasjonen han har bruk for, foreligger det et gap. Hvis det it-sjefen får vite mens han samler inn data, viser seg å være i strid med lovgivningen, foreligger det et gap. Hvis det finnes behandlingsaktiviteter med persondata som ikke tar høyde for å beskytte og begrense adgangen til disse dataene, foreligger det et gap, osv.”, sier Jakob Joensen.
De fem viktigste spørsmålene
I et forsøk på å hjelpe it-sjefen med å hjelpe seg selv og resten av sin organisasjon har vi utarbeidet en spørreramme man kan benytte i kartleggingsfasen. Her er de fem viktigste spørsmålene fra spørrerammen:
- Hvilken type persondata håndterer vi?
- Hvordan skal disse persondataene klassifiseres i forhold til hvor følsomme de er?
- Hvilken lovgivning er persondataene underlagt?
- Hvilken lovhjemmel har vi for å oppbevare og håndtere persondataene?
- Hva slags databehandlinger gjennomfører it-systemene våre for oss i relasjon til persondata?
Prøv styringssystem for informasjonssikkerhet gratis i 30 dager!
Vår GDPR compliance verktøy gir systemstøtte til arbeidet med årshjul og den kontinuerlige overholdelsen av GDPR, sikkerhetsstandarder og selskapets egne retningslinjer.
