Kom sikkert i mål med den kommende persondataforordning


Hvilke data er persondata? Er data i CRM-systemet omfattet af forordningen? Hvad er forskellen på databehandler og dataansvarlig?  GDPR (General Data Protection Regulation) eller Persondataforordningen, som den hedder på dansk, bringer mange spørgsmål på banen.

Det prøvede Laura Lynggaard Nielsen og Berit Skjernaa - begge fra Alexandra Instituttet i samarbejde med Jan Berg fra REVI IT at råde bod, da de på vegne af InfinIT og it-forum arrangerede en workshop på Erhvervsakademi Midt/Vest den 1. februar. Her havde de fremmødte både mulighed for at få svar på spørgsmål og for at arbejde med deres egen datasituation.

Grøn, gul eller rød

Workshoppen blev skudt i gang med en opvarmningsøvelse, hvor man tog temperaturen på GDPR. Her kunne deltagerne række grønne, gule eller røde post-it sedler i vejret alt efter, om de var enige i udsagnene om GDPR, som fx: ‘ Jeg savner konkrete anvisninger til, hvordan man kan gribe GDPR an.

Det er en meget typisk udfordring og usikkerhed, som Jan Berg fra REVI IT møder, når han er ude at rådgive. Det første, man skal gøre, er at finde ud af, om man lusker eller roder med data, og hvis man gør det, så skal man skynde sig at få ryddet op.

“Det næste er, at få udarbejdet en fortegnelse, altså et overblik over, hvilke behandlinger man har i virksomheden, fordi det handler ikke om, at du ikke må have data liggende. Det handler om, hvordan du behandler dine data, “ siger Jan Berg, seniorkonsulent i data og compliance hos REVI IT.

En anden ting er, at få det sat på virksomhedens agenda.

“Vil man gøre noget, og hvordan vil man gøre det? Har man selv ressourcerne til det, eller skal man ud og købe nye våben, der kan løfte det? Der ligger også en kommunikationsopgave i forhold til medarbejderne. Hvis man har fundet ud af, at nogle af virksomhedens databehandlinger er fuldstændig forkerte, man nødt til at have medarbejderne med. Det kræver træning og undervisning at få dem til at efterfølge det,” forklarer han.

Og ellers læg en projektplan for, hvordan I kommer i mål - også efter skæringsdatoen den 25. maj, hvor forordningen træder i kraft.

Kort fortalt handler det om at få lavet et årshjul, starte en fortegnelse, og lægge en plan for implementering. Og lave dokumentation, så Datatilsynet kan se, hvad I har gjort. Det kan ifølge Jan Berg løses ved at åbne et worddokument og skrive, hvad man har gjort og hvornår. Jo bedre du kan dokumentere, at du gør noget for at have orden i dine data, desto stærkere står du.

“Det er ledelsens ansvar, og hvis jeg sad i ledelsens i et firma, så ville jeg gøre det her til et fast punkt på bestyrelsesmøderne, så man er sikker på, at det bliver diskuteret, og der bliver gjort noget. For i bund og grund kan man kigge på bøder på 20 millioner euro plus de oprydningsomkostninger, man kan få, hvis man er uheldig at blive ramt og ikke have styr på sine data,” siger han og forklarer, at der er tab i omdømme på spil.

“Hvis du er teleselskab, og dine data bliver lækket, er der nok mange, der vil overveje at flytte selskab. Og omvendt hvis man sætter tid af til det, er det relativt nemt at få kortlagt sine data,” forklarer han.

Det kan ramme alle

Man kan ikke snakke GDPR uden at nævne datasikkerhed, fordi brud på it-sikkerheden kan ramme alle. Sådan lyder det fra Berit Skjernaa, Senior Security and Privacy Specialist i Security Lab på Alexandra Instituttet, der kom med råd til, hvordan man forbereder sig.

Kriminaliteten har været faldende de fleste steder i Danmark, lige undtagen inden for it-kriminalitet. Politiet plejer at beskrive hackerne som siddende i en høj bygning og meget velorganiserede. Der kommer især meget CEO-fraud eller direktørsvindel, hvor en hacker udgiver sig for at være en falsk person og beder f.eks. en regnskabsmedarbejder om at overføre penge til en konto. En anden type angreb, der rammer danske virksomheder, er ransomware, hvor kriminelle krypterer virksomhedens filer og kræver en løsesum.

“Vi har f.eks. set det med en tømrervirksomhed, der blev ramt af malware, fordi de ikke havde styr på deres aftale om backup. Der er også malerbutikken, hvor skærmen gik i sort, og hvor de ikke kunne komme til deres system i ti dage. Det helt store nedbrud er selvfølgelig det, som Mærsk havde i juni sidste år. Det var ikke fordi, man ikke havde gjort noget for at modvirke det. Men der var et behov for at gøre endnu mere,” fortæller Berit Skjernaa.

“Det er ikke smart, hvis det ikke er sikkert”

Et andet udsat område er smarte produkter. Et af de mest kendte eksempler er firehjulstrækkeren fra Chrysler, hvor hackere kunne bremse bilen. Der er også eksempler med smarte elpærer og en døråbner. Også inden for sundhed, som f.eks. en pacemaker og en insulinsprøjte. Der er, så vidt jeg ved, ikke sket misbrug endnu, men man har vist, at man kunne hacke insulinsprøjten og ændre dosis. Et andet eksempel er GPS-ure, der kan vise forældrene, hvor deres børn er. Ulempen var, at alle andre også kunne se, hvor de var på grund af manglende sikkerhed.

“Det kan være smart at være på nettet. Men det er ikke smart, hvis det ikke er sikkert. Eksemplerne viser, at det er sådan set alle steder, hvor man skal tænke sikkerhed. Hvis ikke sikkerheden er tænkt ind alle steder i systemet, kan hackere gå ind og få oplysninger, de ikke skulle have haft, overtage styringen eller forhindre adgang. Og hvis der er personer involveret, kan det gå hen og blive meget følsomt,” forklarer Berit Skjernaa.

Hvad kan I gøre som virksomhed?
 Et godt sted at starte er ‘Sikkerhedstjekket’, som Rådet for Digital Sikkerhed står bag. Her kan man få en god indikation af, hvor godt man klarer sig, og hvor man halter efter.

Derudover er der mere klassiske forholdsregler som at sørge for at tage backup og opdatere antivirus, software og firewalls. Sørg for, at alle systemer er opdateret, og at også leverandører har styr på opdateringer. Det er også vigtigt at skabe en bevidsthed blandt medarbejderne om it-sikkerhed, så de forstår, hvad de skal være opmærksomme på.

“Set i forhold til GDPR er det vigtigt at få et overblik over, hvilke data virksomheden ligger inde med. Er det persondata, eller er det kritiske data for ens kunder, og hvem har adgang til dem? Hav styr på, om medarbejderne får frataget deres adgang til disse data, når de f.eks. forlader virksomheden,” siger Berit Skjernaa.

Gør det til en ydelse

Det handler også om, hvilken tilgang man har i virksomheden. Forordningen slår et slag for minimering af data, hvilket betyder, at man ikke må samle flere data, end man har brug for. Jo færre systemer man har, jo nemmere bliver det også at overskue og dermed nemmere at overholde forordningen.

“Der er nogen, der siger, at de kun lige skal have rygdækning for at overholde forordningen, Andre siger, at de skal ind og lave en ydelse på det, og for dem står og falder deres image med det her. Hvordan man går til det, afhænger meget af, hvilken opfattelse man har,” forklarer Berit Skjernaa.

 

Hvad betyder forordningen?


GDPR, der træder i kraft 25. maj 2018, sætter ekstra fokus på datasikkerhed og behandling af persondata. Hensigten er at skabe fælles EU-regler, der gør det nemmere for virksomhederne at følge reglerne. Brud kan medføre bøder op til 20 mio. euro.

Forordningen medfører især 3 ting:

1) Den viderefører kravet om samtykke. Den dataansvarlige skal kunne påvise, at den registrerede har afgivet samtykke. Samtykket skal samtidig kommunikeres i et let og forståeligt sprog.


2) Man har ret til at se sine data, og til at blive slettet. Man har også ret til at flytte sine data fra et system til et andet.


3) GDPR indfører principper om ‘Privacy by design’, der indebærer et højt niveau af privatlivsbeskyttelse, som er tænkt ind i systemer og den måde som virksomheden behandler persondata.


 

Du kan desuden deltage i InfinITs fokusgruppe om security her.

Kontakt

Innovationskonsulent
Berit Skjernaa
Alexandra Instituttet
Tlf.: +45 26 58 53 73
E-mail

 

Få mere at vide om GDPR og datasikkerhed

Et godt sted at starte er Dansk Industri, Dansk Erhverv og andre brancheforeninger, væksthuse og erhvervsrådene. De laver arrangementer og ERFA-grupper. Brancheforeningerne kan endvidere lave adfærdskodekser som godkendes af Datatilsynet. Så spørg efter disse, og vis at det er efterspurgt, hvis ikke der allerede er noget.

Datatilsynet har flere vejledninger til forordningen:  Start gerne med deres 12 spørgsmål til GDPR

Rådet for Digital Sikkerhed har lavet denne test, hvor man kan få en indikation af, hvor man står sikkerhedsmæssigt.

 

Netværkets aktiviteter er medfinansieret af Uddannelses- og Forskningsministeriet og drives af et konsortium bestående af:
Alexandra Instituttet . BrainsBusiness . CISS . Datalogisk Institut, Københavns Universitet . DELTA . DTU Compute, Danmarks Tekniske Universitet . Institut for Datalogi, Aarhus Universitet . IT-Universitetet . Knowledge Lab, Syddansk Universitet . Væksthus Hovedstadsregionen . Aalborg Universitet