Sikkert nok? Blogg om informasjonssikkerhet

GDPR: Hvis du gjør som de fleste, lager du flere protokoller over behandlingsaktiviteter enn du behøver

[fa icon="calendar"] 17. mai 2018 / av Jakob Holm Hansen

Med en blanding av iver etter å gjøre det riktig og frykt for å gjøre noe galt, utarbeider mange virksomheter langt flere protokoller over behandlingsaktiviteter enn de trenger. Her beskriver en Neupart-ekspert hvordan man kan gruppere behandlingsaktivitetene og dermed spare mye (bortkastet) arbeid.

Som kjent krever GDPR at virksomheter skal ha en protokoll over sine behandlingsaktiviteter. En protokoll over behandlingsaktiviteter kan beskrives som en liste over virksomhetens logisk sammenhengende prosesser. Og hva er så det?

La oss ta et par eksempler:
Persondata som inngår i ansettelseskontrakter, lønnsutbetalinger, sykdomsregistreringer, pensjonsordninger, utviklingssamtaler o.l. er alle alle persondata som inngår i én, logisk sammenhengende prosess, som kan beskrives som 'Personaladministrasjon'. GDPR krever ikke at man skal ha en protokoll over alle underliggende prosesser i sin administrering av ansatte. Altså en kartlegging av hvilke systemer og plattformer som anvendes til å håndtere persondata om ansatte. Personvernforordningen vil – i denne sammenhengen – kun få virksomheter til å beskrive det overordnede formålet med håndteringen av persondata.

Etter samme logikk er kundekontakt på en nettside, over telefon og i personlige møter ikke vesentlig forskjellige prosesser som krever opprettelse av særskilte protokoller. All kundekontakt som innvolverer persondata, er én logisk sammenhengende prosess, som kan betegnes som 'Kundekontakt'. Slik kan man fortsette å gruppere behandlingsaktiviteter, som for eksempel 'Formidling av lån' og 'Markedsføringsaktiviteter'.

Hva gjør dere?

Jakob Joensen er konsulentsjef i Neupart. Han medgir at det kan være krevende å foreta en gruppering av logisk sammenhengende prosesser. Men han oppfordrer likevel til at man tar fatt på oppgaven.

«Prøv å slå opp din egen bedrift i Brønnøysundregistrene. Hva står det der at dere driver med? Har dere en matbutikk, selger dere gummistøvler eller hva er kjernevirksomheten? Deres formål med å drive forretning må relateres til behovet for å behandle data om den registrerte. Altså; er det fornuftig at dere håndterer nettopp disse personopplysningene om disse menneskene i disse prosessene? Det er hele den tankerekken som skal med i en protokoll for  behandlingsaktivitet», sier Jakob Joensen. «Og husk at protokollen skal gi mening for den registrerte, ikke bare for dere som virksomhet. Det er det som er hele bakgrunnen for GDPR.»


“Og husk at protokollen skal gi mening for den registrerte, 
ikke bare for dere som virksomhet.
 Det er det
som er hele bakgrunnen for GDPR
.”

Jakob Joensen, konsulentsjef i Neupart

 

Behandlingsaktiviteter er ikke dataflytanalyser

Jakob Joensen forklarer at noe av forvirringen stammer fra en sammenblanding av begrepene 'protokoll over behandlingsaktiviteter' og 'dataflytanalyser'.

En dataflytanalyse er et totalbilde av hele IT-landskapet – eksempelvis nettverk, infrastruktur, lagring, databaser, osv. – og hvordan data strømmer mellom applikasjonene. En behandlingsaktivitet er bare en oppføring som skal gi oversikt over hvordan man behandler sine persondata og i hvilke overordnede prosesser.

«Noen virksomheter forveksler de to og begynner å lage oversikt over deres dataflyter. For det første er det ikke et krav iht. GDPR, men det er også en ganske omfattende oppgave å utarbeide et totalbilde over hele IT-landskapet, fordi det hele tiden er i endring.»

Rettslig grunnlag er en god pekepinn

Det kan være et definisjonsspørsmål å avgjøre om noen prosesser henger mer naturlig sammen enn andre. La oss ta et eksempel med en virksomhet som selger elektronikk og har kundekontakt med både privatpersoner og offentlige selskaper. Er den samlede kundekontakten én eller to logisk sammenhengende prosesser?

«Salg til private og salg til bedrifter er underlagt ulik lovgivning. Derfor er håndteringen av personopplysningene også to forskjellige prosesser, og to ulike protokoller over   behandlingsaktiviteter må utarbeides. Det samme er tilfelle dersom firmaet behandlet både kundedata for analyseformål og kundedata til salgsformål. Det er to ulike prosesser med forskjellige formål. Den ene har et forskningsmessig preg. Den andre handler utelukkende om salg», sier Jakob Joensen.

«Jeg vet at det kan være vanskelig å skille på de ulike prosessene, men prøv å se på den lovhjemmelen som regulerer det området personopplysningene ligger under. Dersom behandlingen av personopplysninger i eksempelvis alt av selskapets kundekontakt er underlagt samme lovgivning, skal det sannsynligvis bare lages én protokoll. Men hvis de prosesser som databehandlingen inngår i er underlagt ulik lovgivning, skal det i utgangspunktet utarbeides en protokoll for hver av de behandlingsaktivitetene som er logisk sammenhengende.»

Databeskyttelse er en klassisk IT-disiplin

Når man har kartlagt formålet og utarbeidet protokoller over sine behandlingsaktiviteter, krever GDPR også at man redegjør for hvordan man beskytter den registrertes data under hver behandlingsaktivitet. 

«Det er en klassisk IT-disiplin. Det handler om å beskrive hvordan man eksempelvis foretar adgangskontroll, krypterer data, logger filer, osv. Det er det mange IT-avdelinger som har god kontroll på allerede. Det skal kanskje dokumenteres på en annen måte enn de er vant til, men selve oppgaven kjenner de til.», avslutter Jakob Joensen. 

 

Link til Datatilsynets artikkel om emnet:  
https://www.datatilsynet.no/regelverk-og-skjema/veiledere/virksomhetens-ansvar-etter-nytt-regelverk/?id=8284

Prøv styringssystem for informasjonssikkerhet gratis i 30 dager!

Neuparts verktøy Secure ISMS og Secure GDPR gir systemstøtte til arbeidet med årshjul og den kontinuerlige overholdelsen av GDPR, sikkerhetsstandarder og selskapets egne retningslinjer.

Få tilgang til demo her

 

Emner: personvernforordningen, GDPR, protokoller over behandlingsaktiviteter

Sikkert nok?

Neupart blogg er gode råd og kunnskap om effektiv IT-sikkerhet, IT-sikkerhetsstrategier, risikostyring, etterlevelse av standarder og andre krav, beredskapsplanlegging, ISO2700x, EU personvern, PCI DSS, etc.

Populære innlegg