GDPR er et godt eksempel på hvor viktig det er å definere en oppgave før man begynner å løse den.
EU Personvernforordningen handler i sin essens om at virksomheter må beskytte sine persondata. Men for å komme fram til et svar på hvordan en virksomhet skal beskytte persondata, er man nødt til å vite hvorfor virksomheten sitter inne med nettopp disse persondataene. Årsaken må med andre ord klarlegges forut for håndteringen.
Nettopp nå havner GDPR-oppgaven ofte på it-sjefens bord, og skaper forståelig nok frustrasjon. For man kan ikke forlange at en it-sjef skal kunne svare på hvorfor virksomheten samler inn, oppbevarer og eventuelt deler visse persondata. En it-sjef kan forventes å svare på hvordan man systemunderstøtter håndteringen av visse persondata, og om disse dataene er forsvarlig sikret.
Så hvordan definerer man GDPR-ansvaret og -oppgaven? Det kan vi hjelpe med å svare på.
“GDPR skal defineres som et ledelsesansvar. Entydig. Det er ledelsens ansvar å svare på hvorfor virksomheten håndterer persondata, hvilke persondata det er tale om, og hvilken lovhjemmel virksomheten er underlagt”, sier Jakob Holm Hansen, CEO.
Selv om det altså ikke er it-avdelingens ansvar at virksomheten etterlever kravene i Personvernforordningen, kan man som it-sjef godt bli bedt om å påta seg oppgaven med å implementere GDPR i organisasjonen. Og det må man bare akseptere.
“Vi lever i virkelighetens verden, så selvsagt skal en it-sjef si ja hvis sjefen ber om det. Men straks etter at man har sagt ja, gjør man klokt i å be om en rekke opplysninger som vil være en forutsetning for at man skal kunne løse oppgaven”, sier Jakob Joensen.
Rekken av opplysninger skal for det første brukes for å utarbeide det som i GDPR-sjargong heter en ʽfortegnelse over behandlingsaktiviteter’. Det er en fortegnelse som forteller hvordan virksomheten behandler sine persondata, og i hvilke prosesser. Og for det andre skal opplysningene kunne gi svar på hvordan virksomheten håndterer klassiske it-sikkerhetskrav, som for eksempel brukerstyring, kryptering, logging m.m. Kombinert med kunnskap om samtykke, kontrakter, lovhjemmel eller årsaker til databehandlingen er formålet med hele informasjonsinnsamlingen å identifisere hvilke kilder man må gjennomgå for å stille konkrete krav til den tekniske sikkerheten som understøtter behandlingen.
Hvis det ikke allerede finnes en fortegnelse over behandlingsaktiviteter, må den produseres med hjelp fra alle de områdeansvarlige i virksomheten, det være seg HR-sjefen, salgssjefen, markedsføringssjefen osv. De vet hver på sitt felt i hvilke prosesser det inngår persondata, og hvilken klassifisering disse dataene har. Altså hvor følsomme de er.
Forskjellen mellom hva en virksomhet gjør i dag, og hva den bør gjøre i henhold til GDPR, skal resultere i en gap-analyse.
“Hvis it-sjefen ikke kan skaffe den informasjonen han har bruk for, foreligger det et gap. Hvis det it-sjefen får vite mens han samler inn data, viser seg å være i strid med lovgivningen, foreligger det et gap. Hvis det finnes behandlingsaktiviteter med persondata som ikke tar høyde for å beskytte og begrense adgangen til disse dataene, foreligger det et gap, osv.”, sier Jakob Joensen.
I et forsøk på å hjelpe it-sjefen med å hjelpe seg selv og resten av sin organisasjon har vi utarbeidet en spørreramme man kan benytte i kartleggingsfasen. Her er de fem viktigste spørsmålene fra spørrerammen:
Vår compliance verktøy gir systemstøtte til arbeidet med årshjul og den kontinuerlige overholdelsen av GDPR, sikkerhetsstandarder og selskapets egne retningslinjer.