GDPR i IT-afdelingen

IT-afdelingen er på mange måder helt central for GDPR-indsatsen i de fleste virksomheder. Det er her, persondata opbevares – og det er i IT-afdelingen, at håndtering og behandling af data samt sikkerhedsniveau defineres. IT-afdelingen er mange steder nøglen til at lykkes med GDPR.

Sidder du i en IT-afdeling, ved du, hvor vigtig en stærk IT-arkitektur er for at kunne håndtere de mange daglige opgaver og trusler. Du ved også, hvor vigtig den enkelte medarbejders holdning til – og ikke mindst håndtering af – IT-relaterede opgaver er for til stadighed at kunne sikre en agil, fleksibel og sikker IT-infrastruktur. Det kan fx dreje sig om sletning af e-mails.

Derfor er høj IT-sikkerhed et godt udgangspunkt for at få styr på GDPR. For det handler ikke kun om indsamling og behandling af persondata. Det handler også i høj grad om opbevaring, transport og sikring af persondata – samt ikke mindst den interne håndtering heraf.

Fokus på processer eller systemer?

Mange opfatter GDPR som et kæmpestort proces-monster, hvor alle processer, der involverer persondata, skal dokumenteres og beskrives. En jurist eller DPO vil måske anbefale en klassisk proces-orienteret tilgang, da den er mere dækkende. Den er til gengæld også mere omfattende.

Men når det handler om persondata, er det sjældent nødvendigt at beskrive det utal af processer, de nogle gange indgår i. For selvom det er vigtigt at have overblik over de væsentligste processer, er det ofte de samme data, der går igen på tværs heraf.

Det kan fx være ansattes e-mail adresser, der naturligt vil indgå i en lang række processer, men som oftest kun vil ligge forankret i ét konkret ERP-, løn og/eller e-mail system. Tilsvarende vil kundedata typisk være forankret i et ERP- og/eller CRM-system.

Det er derfor vigtigt at skelne mellem en IT– eller systemorienteret og en procesorienteret tilgang.

Mange fordele med en IT-baseret tilgang til GDPR

Med en IT-orienteret tilgang er fokus på, hvor og hvordan de forskellige persondata opbevares, da persondata som nævnt ofte kun er forankret i ét eller meget få systemer – også selvom de indgår i mange forskellige processer.

Med data liggende ét eller meget få steder, sikrer den IT-orienterede tilgang med sit fokus på data og systemer et meget hurtigere overblik, da antal processer, der skal beskrives, reduceres drastisk. Desuden bliver det langt lettere at få styr på sikkerheden omkring de pågældende data.

Lettere at sikre høj sikkerhed

Sikkerhed omfatter her både tekniske, fysiske og organisatoriske sikkerhedsforanstaltninger. De tekniske omfatter bl.a. adgangskoder, 2-faktor login, kryptering og firewalls. De fysiske handler om fx sikrede hegn, døre, rum og skabe.

De organisatoriske sikkerhedsforanstaltninger handler primært om den såkaldte medarbejderinstruks. Den skal sikre, at relevante medarbejdere informeres og trænes i, hvordan de bedst håndterer de persondata, de kommer i berøring med.

Her vil den IT-orienterede tilgang også ofte gøre det en del lettere at forklare medarbejderne hvorfor og hvordan, de skal forholde sig til persondata. De skal nemlig primært forstå hvilke data, det handler om, og hvordan de konkret skal håndteres. Alternativet er, at de i stedet skal huske og forholde sig til et måske meget stort antal processer. Processer hvor de forskellige typer persondata indgår.

Mere end 50% af alle anmeldelser til Datatilsynet bunder i menneskelige fejl. Derfor giver det på alle måder god mening at fokusere på at sikre en reel fysisk implementering af selve mindsettet blandt alle relevante medarbejdere i hele organisationen.

Så der er mange fordele ved at anlægge en IT-orienteret tilgang, når det handler om GDPR.

Det oplagte valg

IT-afdelingen har således allerede mange af de værktøjer, det kræver at holde styr på persondata. Det er også IT-afdelingen, der er bedst i stand til at dokumentere, hvordan persondata behandles og sikres. Så hvorfor ikke gribe bolden, og tage opgaven på sig?

Selvom svaret ofte handler om ressourcer, er det stadig værd at overveje, om ikke IT-afdelingen er det bedste sted at lægge GDPR-opgaven, da hele mindsettet og de konkrete værktøjer allerede findes her. Og med en IT-baseret tilgang er opgaven faktisk overkommelig…

Del dette indlæg

Har du spørgsmål?

Har du spørgsmål omkring GDPR, vores løsning eller andet, kan du booke et møde med Martin eller Daniel. Book 15 min., 30 min. eller en time

Har du spørgsmål?

Har du spørgsmål omkring GDPR, vores løsning eller andet, kan du booke et møde med Martin eller Daniel. Book 15 min., 30 min. eller en time

Andre artikler

GDPR

GDPR i sundhedssektoren

Arbejder du i sundhedssektoren, ved du, hvor mange fortrolige og følsomme persondata, der dagligt registreres, gemmes, behandles og sendes. Disse data

Læs mere
GDPR

Er din hjemmeside lovlig?

I 2023 analyserede Digitaliseringsstyrelsen 11.000 .dk-hjemmesider og fandt, at både pixels og cookies i vid udstrækning stadig bruges til at spore

Læs mere

Ja tak – send mig jeres nyhedsbrev

Vil du vide mere?

Book et møde , når det passer dig – eller bliv ringet op.