Luke72
>

GDPR nærmer seg med stormskritt – Hvordan få full kontroll?

Winfried Adalbert Etzel 
15. sep. 2017

Den nye EU-reguleringen GDPR er på alles lepper og etterlevelsen av forordningen er et stort tema. Men hvor skal man begynne? Hvordan får du full kontroll over personopplysninger som samles og behandles i en organisasjon? Hvordan er den informasjonen sikret?

Personopplysningsloven / General Data Protection Regulation (GDPR)

25. mai 2018 trer den nye personopplysningsforordningen i kraft, som baserer seg på EU-regulativ GDPR (General Data Protection Regulation). De nye reglene inneholder nye plikter for virksomheter i alle EU-land og virksomheter utenfor EU som behandler data fra EU-borgere. Den nye reguleringen sikrer mange rettigheter for EU-borgere, og brudd av forordningen kan medføre betydelige konsekvenser.

Her er noen punkter fra den nye forordningen som kan bety markante forandringer for virksomheter som ikke er forberedt:

  • Personvernombud – alle offentlige etater og mange private bedrifter skal opprette et personvernombud i virksomheten
  • Lett forståelig personvernserklæring – Registrerte personer skal ha enkel tilgang til informasjon om hvordan deres personlige data blir behandlet. Den informasjonen skal være forståelig og tilpasset vedkommende
  • Privacy by design – personvern skal være innebygd i nye løsninger og systemer
  • Nye plikter til samarbeidspartnere – Virksomheter som behandler personopplysninger på oppdrag av en annen virksomhet har også et ansvar for å overse at reguleringen blir fulgt. Samarbeidspartnere kan også blir holdt ansvarlig for eventuelle brudd, sammen med oppdragsgiver
  • Følge bransjenormer – Reguleringen ser det som hensiktsmessig at tilnærmingen til de nye reglene er sektorspesifikk
  • 72 timers varsel ved sikkerhetsbrudd – Hvis det oppstår et sikkerhetsbrudd, skal berørte og ansvarlige institusjoner varsles
  • Retten til å bli glemt – Den enkelte kan kreve at personlige opplysninger slettes
  • Dataportabilitet – Borgere kan «ta med seg» sine personopplysninger fra en virksomhet til en annen

Mer om konsekvensene ved å ikke etterfølge reguleringen, kan leses i Simen Sommerfelts artikkel EUs Personvernforordning del 1: Store konsekvenser for de fleste virksomheter.

Å etterleve den nye personopplysningsreguleringen kan være en stor utfordring for mange virksomheter. Informasjon genereres hvert sekund, helst i ulike formater og forskjellige fagsystemer. Samtidig kan den samme informasjonen ligge mange steder, som f.eks. på SharePoint, i filstrukturen på en ansattes PC, på en mobiltelefon og i saksbehandlingssystemet. Å vite hvor personopplysninger til et hvert tidspunkt befinner seg, kan virke uoverkommelig.

En kartlegging av virksomhetens informasjon er essensielt for å overholde kravene fra den nye reguleringen. Samtidig byr en slik oversikt over virksomhetens data på mange positive sideeffekter.

Kartlegging av personlig og sensitiv informasjon – data mapping

Det gjelder å få oversikt. For å kartlegge all personlig og sensitiv informasjon i en virksomhet må man begynne å stille seg noen sentrale spørsmål: Har vi rett til å samle denne informasjonen? Hvor lagres data? Hvilke opplysninger behandles? Hvordan behandles data i virksomheten og hvordan den er beskyttet? Er personopplysninger sporbar gjennom alle ledd av virksomheten? Hvordan er kvaliteten og autentisiteten på de samlete data?

Her begynner det tidskrevende arbeidet med å samle informasjon og kartlegge prosesser i hvert system. Dette er en oppgave representanter fra hele virksomheten må bidra til.

Eksempler på metadata som bør kartlegges i en Data Map er

  • Navn på dokumenttype, database, applikasjon
  • Hvor oppbevares denne informasjonen?
  • Hvem er den ansvarlige avdeling/medarbeider?
  • Hvilken type innhold/format er lagret?
  • Hvordan er informasjonen sikret?
  • Hvilket regelverk følges?
  • Hvilke føringer er relevante?
  • Har den kartlagte informasjonen relasjoner og avhengigheter til andre data? Hvor er informasjonen fysisk lagret?

Resultatet av kartleggingsprosessen er en helhetlig oversikt over hvor informasjonen blir generert, hvor personopplysninger befinner seg til enhver tid, hvordan informasjonen blir brukt og hvordan informasjonen blir forkastet.

Med en slik Data Map som utgangspunkt er det meget enkelt å oppdage svakheter i informasjons- og datasikkerhet. Det gir mulighet til å overprøve eksisterende rutiner på f.eks. tilgangsstyring eller sikkerhetsklassifikasjon.

cyber-security-2296269_1920

Risiko- og sårbarhetsanalyse (ROS) og vurdering av personvernkonsekvenser

Selv i en situasjon hvor virksomheten har kartlagt sin informasjon, slik at man har full kontroll over personopplysningsdata kan informasjon komme på avveie. Hva må gjøres for at uvedkomne ikke får innsyn i personopplysninger? Hvordan er informasjonen om den registrerte sikret?

Data Protection Impact Assessment (DPIA) er det sentrale preventive verktøyet for å evaluere risiko og sårbarhet for personvern og sensitiv data, med utgangspunkt i konsekvensene for den registrerte. I kombinasjon med en ROS-analyse kan en slik vurdering hjelpe å etablere tiltak for å minimere risikoen for at et sikkerhetsbrudd skjer og for å håndtere konsekvensen når et slikt brudd oppstår.

For noen virksomheter vil DPIA bli pålagt. Dette gjelder virksomheter der prosessene er «[…] likely to result in a high risk to the rights and freedoms of natural persons […]» (Art. 35, GDPR). Datatilsynet har påkrevd DPIA for alle systemer der et sikkerhetsbrudd kan medføre risiko for den registrerte dataen. Samtidig er en slik systematisk evaluering et nyttig verktøy for alle virksomheter som håndterer personopplysninger og sensitiv data.

Med utgangspunkt i den strukturerte kartleggingen av personopplysninger og sensitiv informasjon, er det kort vei til en helhetlig analyse i form av en DPIA. En slik vurdering bør inneholde

  • En systematisk beskrivelse av prosessering og formål
  • En vurdering av nødvendighet og proporsjonalitet av prosessen i forhold til målsetningen
  • En vurdering av risiko for rettighetene og frihetene knyttet til individene
  • Noen tiltak for å adressere risikoen og får å komme i overenstemmelse med reguleringen.

Det har også kommet en internasjonal standard (ISO/IEC 29134), som inneholder retningslinjer for metoder ved vurdering av personvernkonsekvenser.

En grundig og uttømmende DPIA er i tillegg til etterlevelsen av GDPR et bra hjelpemiddel for å håndtere situasjoner der person- og sensitiv data er på avveie, både ved angrep eller feil. Det anbefales å videreutvikle analysen til en overordnet ROS-analysen og tiltaksplan for minimering av risiko ved sikkerhetsbrudd.

IAPP (The International Association of Privacy Professionals) har lagt en oversikt over hovedpunktene i en DPIA.

En varig prosess

Å få kontroll og oversikt over all personlig og sensitiv data som samles, behandles, deles og brukes i en virksomhet er ingen enkel oppgave, men et omfattende prosjekt som må bli til en varig og rutineskapende prosess. Med en Data Map og en preventiv DIPA er virksomheten godt på vei til å møte kravene fra den nye personvernsforordningen GDPR.

Ønsker du å lære mer om hvordan håndtere den nye forordningen? Bouvet har nå lansert kurs i personvern og GDPR med Eva Jarbekk og Simen Sommerfeldt.

Informasjon om kursene finner du her:

Kurs i personvern og GDPR