Sådan forberedte Schultz Information sig på GDPR 

4. oktober 2018 - I forbindelse med Dubex’ årlige konference om digital sikkerhed og risikostyring var Morten Balstrup fra Schultz Information inviteret til at fortælle om deres tilgang til EU-persondataforordningen som både dataansvarlig og databehandler.

Schultz Information leverer en række digitale værktøjer til det offentlige, som blandt andet jobcenter- og selvbetjeningsløsninger, og udvikler derudover også systemer for en række kunder. I kraft af dette fungerer virksomheden som databehandler. Derudover har de, som alle andre, en lang række personoplysninger om deres egne medarbejdere, hvor de fungerer som dataansvarlig.  

”Vi har aldrig været i tvivl om, at vi var underlagt kravene i GDPR, men vi havde brug for at finde ud af, hvordan vi bedst kunne gribe opgaven an. Som noget af det første tog vi derfor kontakt til Dubex, der lavede en gap-analyse og hjalp os med at skabe overblik over, hvad vi manglede for at komme i mål og kom med forslag til, hvad der skulle prioriteres. Efterfølgende har vi taget stilling til, hvordan projektet skulle håndteres og sikre at vi løbende kan dokumentere, hvad vi gør”, forklarede Morten Balstrup. 

Projektorienteret og pragmatisk tilgang 

Schultz Information er en projektorienteret organisation og derfor gav det mening at tage udgangspunkt i tre projektområder, der adresserer Schultz Informations rolle som enten dataansvarlig eller databehandler og den største udfordring, som forordningen medfører. De tre projektområder blev derfor driften af kundevendte løsninger (databehandler), forretningsstøtte/interne afdelinger (dataansvarlig) og udvikling, hvor der især er fokus på Privacy by Design i nye løsninger og ved opdateringer af eksisterende løsninger. 

Hvert projektområde blev mappet i forhold til forordningens regler for de registreredes rettigheder, den dataansvarlige/databehandlerens ansvar og sikkerhedsforanstaltninger.  

Hele GDPR-projektet blev delt i to faser: Planlægning og klargøring af ISMS og implementering af GDPR compliance.  

I første fase har vi brugt energien på at få designet vores ISMS og revideret sikkerhedspolitikken, så vi har styr på rammen og kan lave vejledningerne”, forklarede Morten Balstrup og fik hurtigt et spørgsmål fra salen om hvad det krævede at tilpasse ISMS’et til GDPR:  

”Vi har valgt at gå til opgaven uden at lave kæmpe procesbeskrivelser, men i stedet lave små projekter med tjeklister. En stor del af opgaven har været at få overblik over vores behandlinger: Hvor kommer data fra? Hvor giver vi data videre? Og så få lavet koblingen til kravene i forordningen og øvrig lovgivning. Når vi eksempelvis udbetaler løn, skal vi indberette til Skat og derfor har vi brug for de og de oplysninger”, forklarede Morten Balstrup og uddybede, at den pragmatiske tilgang har kendetegnet store dele af GDPR-projektet: 

”Generelt har vi forsøgt at udnytte de værktøjer, der er tilgængelige. Blandt andet har vi taget udgangspunkt i Datatilsynets skabelon for databehandleraftaler og tilpasset den til vores behov. Som databehandler har vi eksempelvis valgt at sige, at vi kontakter den dataansvarlige, når vi kender omfanget af en sikkerhedshændelse og har vurderet konsekvenserne heraf. Så kan den dataansvarlige tage stilling til, hvad der skal ske” 

GDPR kræver tydelig kommunikation og beslutninger 

Projektets anden fase havde til formål at sikre GDPR compliance. Her har det især været vigtigt at få udviklerne med: 

”På grund af den type løsninger vi leverer, er vi nødt til at udarbejde konsekvensanalyser allerede i udviklingsfasen. Det er nyt for mange og derfor er det en håndholdt proces i starten, hvor vi gennemgår tjeklisterne sammen. Ligesom med meget andet i forordningen og i informationssikkerhedssammenhæng, er der tale om en stille kulturændring”, fortalte Morten Balstrup og understregede, at det er vigtigt at kommunikere præcis, hvad relevansen er for den enkelte forretningsfunktion: 

DPIA’en er ny for mange og volder mange problemer, især fordi vi ikke længere kun skal se på virksomhedens behov for at beskytte data, men også datasubjektets. Udfordringen er, at det hurtigt bliver en individuel fortolkning af, hvad høj risiko er. Derfor har vi valgt at sige, at hvis der er tvivl om høj risici, skal der igangsættes en DPIA. 

Igangsættelsen af en DPIA betyder konkret, at der hos Schultz Information foretages: 

  • En risikovurdering af behandlingen 
  • En kvalificering af oplysninger til behandling, samt behandlingsmåde 
  • Dokumentation af formålet og det retslige grundlag for behandlingen 
  • En generel risikovurderingsproces (teknisk) 
  • En specifikation af systemfunktionalitet og arkitektur ift. GDPR compliance 
  • En gennemgang og dokumentation af sikkerhedsdesignet.  

”Udfordringerne med at definere en høj risiko er sigende for meget af arbejdet med GDPR. For der angives ikke en præcis standard, men derimod et ambitionsniveau. Det kræver at den enkelte organisation træffer nogle aktive valg. Her er det nødvendigt at tage udgangspunkt i risikoen for den registrerede og hvad der er teknisk muligt”, sluttede Morten. 

Vil du vide mere om gap-analysen? 

Du kan få indblik i hvordan Schultz Information brugte Dubex’ gap-analyse til at få overblik over GDPR-projektet og blive klar til at efterleve persondatareglerne i casen ”GDPR-analyse gav overblik over compliance-processen”. 

Schultz Information fik overblik over compliance-processen

For at sikre GDPR-compliance fik it-leverandøren Schultz Information lavet en GDPR-gap-analyse hos Dubex. Analysen sikrede et opdateret overblik over interne systemer og behandlinger samt en stor forståelse for, hvad GDPR er, og hvordan persondata skal håndteres.

Schultz