Sidder du i en IT-afdeling, ved du, hvor vigtig en stærk IT-arkitektur er for at kunne håndtere de mange daglige opgaver og trusler. Du ved også, hvor vigtig den enkelte medarbejders holdning til – og ikke mindst håndtering af – IT-relaterede opgaver er for til stadighed at kunne sikre en agil, fleksibel og sikker IT-infrastruktur. Det kan fx dreje sig om sletning af e-mails.
Derfor er høj IT-sikkerhed et godt udgangspunkt for at få styr på GDPR. For det handler ikke kun om indsamling og behandling af persondata. Det handler også i høj grad om opbevaring, transport og sikring af persondata – samt ikke mindst den interne håndtering heraf.
Fokus på processer eller systemer?
Mange opfatter GDPR som et kæmpestort proces-monster, hvor alle processer, der involverer persondata, skal dokumenteres og beskrives. En jurist eller DPO vil måske anbefale en klassisk proces-orienteret tilgang, da den er mere dækkende. Den er til gengæld også mere omfattende.
Men når det handler om persondata, er det sjældent nødvendigt at beskrive det utal af processer, de nogle gange indgår i. For selvom det er vigtigt at have overblik over de væsentligste processer, er det ofte de samme data, der går igen på tværs heraf.
Det kan fx være ansattes e-mail adresser, der naturligt vil indgå i en lang række processer, men som oftest kun vil ligge forankret i ét konkret ERP-, løn og/eller e-mail system. Tilsvarende vil kundedata typisk være forankret i et ERP- og/eller CRM-system.
Det er derfor vigtigt at skelne mellem en IT– eller systemorienteret og en procesorienteret tilgang.
Mange fordele med en IT-baseret tilgang til GDPR
Med en IT-orienteret tilgang er fokus på, hvor og hvordan de forskellige persondata opbevares, da persondata som nævnt ofte kun er forankret i ét eller meget få systemer – også selvom de indgår i mange forskellige processer.
Med data liggende ét eller meget få steder, sikrer den IT-orienterede tilgang med sit fokus på data og systemer et meget hurtigere overblik, da antal processer, der skal beskrives, reduceres drastisk. Desuden bliver det langt lettere at få styr på sikkerheden omkring de pågældende data.
Lettere at sikre høj sikkerhed
Sikkerhed omfatter her både tekniske, fysiske og organisatoriske sikkerhedsforanstaltninger. De tekniske omfatter bl.a. adgangskoder, 2-faktor login, kryptering og firewalls. De fysiske handler om fx sikrede hegn, døre, rum og skabe.
De organisatoriske sikkerhedsforanstaltninger handler primært om den såkaldte medarbejderinstruks. Den skal sikre, at relevante medarbejdere informeres og trænes i, hvordan de bedst håndterer de persondata, de kommer i berøring med.
Her vil den IT-orienterede tilgang også ofte gøre det en del lettere at forklare medarbejderne hvorfor og hvordan, de skal forholde sig til persondata. De skal nemlig primært forstå hvilke data, det handler om, og hvordan de konkret skal håndteres. Alternativet er, at de i stedet skal huske og forholde sig til et måske meget stort antal processer. Processer hvor de forskellige typer persondata indgår.
Mere end 50% af alle anmeldelser til Datatilsynet bunder i menneskelige fejl. Derfor giver det på alle måder god mening at fokusere på at sikre en reel fysisk implementering af selve mindsettet blandt alle relevante medarbejdere i hele organisationen.
Så der er mange fordele ved at anlægge en IT-orienteret tilgang, når det handler om GDPR.
Det oplagte valg
IT-afdelingen har således allerede mange af de værktøjer, det kræver at holde styr på persondata. Det er også IT-afdelingen, der er bedst i stand til at dokumentere, hvordan persondata behandles og sikres. Så hvorfor ikke gribe bolden, og tage opgaven på sig?
Selvom svaret ofte handler om ressourcer, er det stadig værd at overveje, om ikke IT-afdelingen er det bedste sted at lægge GDPR-opgaven, da hele mindsettet og de konkrete værktøjer allerede findes her. Og med en IT-baseret tilgang er opgaven faktisk overkommelig…