Sikkerhedschef: Spørg jer selv om persondatakrav ikke er ret og rimelige
Systematic er efter halvandet års forberedelse klar til nye krav til håndtering af persondata. Sikkerhedschef Kim Larsen har inddraget hele virksomheden.
Datoen 25. maj i år kan for nogle danske virksomheder virke skræmmende, fordi det er dagen, hvor EU’s nye persondataforordning træder i kraft.
Datavirksomheden Systematic har siden sommeren 2016 forberedt sig og er klar. Ifølge sikkerhedschef i datavirksomheden Systematic i Aarhus, Kim Larsen, er der ingen grund til panik. Derimod lyder hans bedste råd, at man som virksomhed bør være konstruktiv over for ændringerne.
– Danske virksomheder bør kigge på, hvad de nye regler egentlig kræver. Man bør forholde sig konstruktivt og spørge sig selv, om det i virkeligheden ikke er ret og rimeligt, at der bliver stillet krav både fra borgere og fra myndigheders side, om at man håndterer tingene rigtigt, siger Kim Larsen, som har over 23 års erfaring blandt andet som ansvarlig for informationssikkerhed i PET.
Under navnet ”The General Data Protection Regulation” (GDPR) træder den europæiske persondataforordning i kraft, og den vil blive implementeret i samtlige lokale persondatalove i hele EU- og EØS-området.
Hos Systematic samler vi det juridiske arbejde med sikkerhedsarbejdet, så man undgår dobbeltarbejde Kim Larsen, sikkerhedschef, Systematics
Ifølge GDPR defineres personlige data som enhver form for information relateret til en person såsom navn, billede, e-mailadresse, bankoplysninger, opslag på sociale medier, oplysninger om lokation, helbredsinformation eller IP-adresse.
Det kan lyde komplekst, men for Kim Larsen og Systematic er der kun én vej at gå.
– Vi tænker ordentlighed i databehandlingen. Hos Systematic samler vi det juridiske arbejde med sikkerhedsarbejdet, så man undgår dobbeltarbejde. Vi uddelegerer ansvaret til de folk, der sidder med processerne i hverdagen. Vi siger: Forklar os, hvordan I håndterer data. Man skal kende sine processer, siger Kim Larsen.
Virksomhedens cirka 1.000 ansatte arbejder blandt andet med forsvar, sundhed og digital infrastruktur.
Læs også: Bilsælger: Nye data-regler er en sund øvelse
Klokkeklar dokumentation
Over for kunderne handler det om at skabe gennemsigtighed.
– Vi spørger hele tiden vores kunder og projekter: Hvem håndterer jeres data, hvordan håndterer I det, hvordan opretter I det, hvordan sletter I det? Selvfølgelig giver 25. maj en del sved på panden, men det er også en god mulighed for at kigge sine processer og sin ordentlighed igennem, siger Kim Larsen.
Systematic skal ikke ændre meget på sine processer, men der behov for klokkeklar dokumentation og sporbarhed, pointerer sikkerhedschefen.
– Vi mener, vi har et godt brand, og i forhold til GDPR skal man kunne dokumentere sin tillid. Måden at gøre det på at er vise omverdenen, at man har et vist niveau, siger han.
Systematic arbejder efter ISO 27001-standarden, hvilket blandt andet illustrerer styr på fysisk håndtering af dokumenter.
Digitalt indre marked
Sikkerhedskonsulent John Wiingaard, it-sikkerhedsvirksomheden Dubex, har hjulpet Systematic i processen. Han oplever generelt stor forvirring om de nye begreber i den nye EU-forordning.
– En stor del af vores arbejde består derfor i rådgivning om betydningen af kravet om passende tekniske og organisatoriske foranstaltninger, siger han.
Det er eksempelvis anonymisering, pseudomisering og kryptering. Selv om Danmark er et digitalt foregangsland, ser han et paradoks i beskyttelsen af persondata.
– Det er ærgerligt, at databeskyttelse ikke ses som en licence to operate. Tillid til at persondata beskyttes ordentligt er afgørende vigtigt for at kunne realisere det fulde potentiale i det digitale indre marked i EU, siger John Wiingaard.
Læs også: Karsten Dybvad: Du kan stole på danske virksomheder
Få oversigt over persondata
Underdirektør Kim Haggren, DI, sidder med ansvaret for den nye persondataforordning. Han har flere anbefalinger, hvor den primære er, at virksomhederne etablerer en oversigt over alle personoplysninger med særlig fokus på de personfølsomme oplysninger.
– Det er vigtigt at kortlægge, hvilke oplysninger man har liggende, og hvor de ligger. Alene denne opgave kan være omfattende, men den er nødvendig. Indgår virksomheden i samarbejder med en trafik af oplysninger ind og ud af EU, er det også væsentlige oplysninger for den nye EU-dataforordning, siger han.
Derefter skal man tage stilling til, om virksomheden har de nødvendige systemer til at håndtere personoplysninger. Og Kim Haggren oplyser, at den nye forordning kræver, at alle virksomheder definerer reglerne for opbevaring af persondata.