I mai 2018 kreves bevissthet på prosessering av personopplysninger

4 min read

En overraskende liten del av virksomheter har tatt innover seg og startet planleggingen av at EU-parlamentet har vedtatt ny personvernforordning.

 

 

Inge Krogstad, Ph.D. & M.Sc. Senior Advisor ▪ Pre-Sales Nordic ▪ Government EMEA and Asia Pacific Operations

 
Dette gjelder særlig SMB segmentet. Personvernforordning skal være innført i alle virksomheter i løpet av mai 2018, og den er også gjeldende for EØS-land.

På tilsynssiden forbereder omfattende harmonisering og fullmakter hvor tilsyn tilrettelegges gjennom internasjonalt samarbeide. Virksomhetene vil nok oppleve at tilsynene vil gå mye dypere, bl.a. innen innsynsrett, pålegg og stoppordre ved overføring til tredje land. Mange har blitt overrasket når de får høre at tilsyn i Norge kan bli utført av representanter fra annet europeiske land. I enkelte bransjer, blant annet innen offentlig sektor og helse er det pågående diskusjoner om bøtenivået. Så lang mangler indiksjonen på at dette blir annerledes enn i andre bransjer.

 

Det forventes at mye av tilsynet blir lagt opp som etterkontroll. Dette vil medføre at mye av slikt arbeidet overføres til databehandler. For å kunne demonstrere compliance, bl.a. formål, hjemmelsgrunnlag, proporsjonalitet og risiko kan det da være lurt å ha tenkt gjennom følgende i forkant:

  • Hvilke persondata er lagret og til hvilket formål?
  • Hvilke av virksomhetens data må være merket som følsomme?
  • Hvem er databehandler og ansvarlig for persondata?
  • Hva finnes av avtaler med evt. underdatabehandlere?
  • På hvilken måte benyttes- og flyter persondata i systemene?
  • Hvordan er persondata sikret mot ekstern- og intern hacking?
  • Hva er konsekvensene for persondata ved eventuelle eksterne sikkerhetsbrudd?

 

I møter med virksomheter opplever vi også at både private og offentlige virksomheter er usikre på hva en innføring av det nye regelverket vil bety i praksis. For å skape en smidig innføring bør virksomheter i første omgang «glemme de 1000 systemer» og isteden fokusere på systemer med høy risikoeksponering og store konsekvenser hvis noe går galt. F.eks. hacking av systemer for salg, databaser for kontrakter, underleverandører og service. Oppgavene som her må gjennomføres er kartlegging av data og analyser av utvalgte kildesystemer, dataflytanalyse, logging, monitorering, og kontroll av brukere og tilgangsrettigheter. Når dette er på plass skal virksomheten oppdatere og dokumentere sine rutiner med hendelsesanalyse, administrasjon av retningslinjer og audit, samt få på plass et tilstrekkelig revisjonsspor. SAS Institute har siden kommisjonsvedtaket jobbet sammen med advokatfirmaet Føyen Torkildsen for å bistå virksomheter i å innføre ny personvernforordning. I vårt forretningskonsept har vi valgt å strukturere en innføring i 5 hovedaktiviteter.

For at virksomhetene raskt skal kunne komme i gang med det praktiske arbeidet, har vi tilrettelagt et sett med såkalte akseleratorer som vil effektivisere arbeidene og gi oversikt over hvor virksomhetene selv må investere og prioritere.

Akseleratorene vil hjelpe brukerne med:

  • Få oversikt og gjennomføre risikovurderinger over systemer
  • Etablere sikkerhetsmål og sikkerhetsstrategier
  • Forvalte hendelseshåndtering
  • Monitorere og sikre livsløpsporing av retningslinjer
  • Operasjonalisere og administrere kontrollister
  • Analysere personvernkonsekvenser ved innføring av ny forordning

Akseleratorenes primær oppgave er å støtte virksomheten i å foreta helt konkrete vurderinger av personvernkonsekvenser gjennom å produsere oversikter over systemer og relatert risiko. Ved hjelp av slike rutinene kan virksomheten også implementere prosesser som gir oversikter over ønskede kontroller og overvåkningsrutiner. De gir videre virksomhetene operative verktøy for administrasjon og livsløpssporing av retningslinjer, støtter innføringen av standardiserte prosesser og rutiner for håndtering, samt administrasjon av hendelser og risiko.

 

Noen virksomheter og bransjer mener fortsatt at de har god tid til å lande GDPR før mai 2018. Vår erfaring er at GDPR er en altomfattende prosess som både griper dypt inn i virksomhetens systemer og arbeidsprosesser, men samtidig avslører kritiske mangler knyttet til datakvalitet og informasjonssikkerhet. Vår erfaring er også at de virksomheter som har igangsatt egne GAP analyser og prosjekter ofte opplever 3 utfordringer; Hvordan kan personopplysninger spores? Hvem og hvordan benyttes personopplysningene? Hvilken risiko er tilknyttet prosesseringen?

Noen opplever nok også den nye personvernforordningen som særs omfattende, i noen grad unødvendig og som en betydelig kostnadsdriver. Det som dessverre i denne sammenheng i alt for stor grad har kommet i bakgrunnen, er at innføring av ny personvernforordning er en av de viktigste strategiene EU har vedtatt for å digitalisere Europa. Dvs. bringe det akterutseilede lovverket mer «up to speed» med den akselererende teknologiske utviklingen.

I et kunde perspektiv er også EUs nye personvernforordning åpenbart positivt. Bl.a. uttaler engelske finansinstitusjoner at dette i betydelig grad har endret sikkerhetskulturen i organisasjonene og skapt økt bevissthet og nøkternhet for bruk av personopplysninger i arbeidsprosessene.

About Inge Krogstad

Inge Krogstad er senior rådgiver i SAS Institute og arbeider med bekjempelse av økonomisk kriminalitet, personvern og innføring av avansert analyse for risikobaserte kontrollsystemer. Krogstad holder en Ph.D. i operasjonsanalyse og har mange års fartstid fra F&U.