4 min læsning

5 GDPR-ting BI-afdelingen skal have styr på

Featured Image

Persondataforordningen er over os. Det er alle offentlige institutioner og virksomheder efterhånden klar over. Men hvordan tackles det så i den enkelte BI-afdeling? Og hvad er BI-afdelings ansvar og opgave? Det giver Insparis egen GDPR-ekspert dig her et overblik over. Sidder du i en ambitiøs BI-afdeling, får du her de 5 ting, som du skal have styr på pr. 25. maj 2018.

Overblik over behandlingsaktiviteter
Lad os først lige vende ordet behandlingsaktivitet – det er enhver form for fx brug, overførsel og lagring af data. Så er det på plads, og vi kan nu dykke direkte ned i materien.

Du skal vide, hvor jeres persondata kommer fra. Det er et krav fra forordningen, at du som dataansvarlig skal have en fortegnelse over dine behandlingsaktiviteter og dermed vide, hvor persondata ligger. I den forbindelse vil jeg anbefale at kortlægge de enkelte integrationer fra kildesystemer til data warehouse og ud til en eventuel front-end. På denne måde overholder du ikke blot lovgivningen, men får også skabt værdi ved at forstå relationerne i systemlandskabet.

Ansvarlighed for persondata
Ansvarlighedsprincipperne er generelle principper, som gælder for alle dataansvarlige persondata – og dermed også dig. Personoplysninger skal:

  • Behandles lovligt, rimeligt og på en gennemsigtig måde
    • Fx oplyse den registrerede om den måde persondata behandles på
  • Indsamles og behandles til det angivne legitime formål
    • Fx anvende indsamlede cookies til markedsføring, når dette formål er forelagt den registrerede efter samtykke
  • Være tilstrækkelig, relevante og begrænset til de formål, hvorunder de behandles (også kendt som dataminimering)
    • Fx minimere persondata til det man har brug
  • Være korrekte og ajourførte. Data skal være korrekt, ellers skal den slettes eller korrigeres
    • Fx have en plan og politik for hvordan data bliver ajourført og allerhelst automatiseret ajourføring samt sletning
  • Have en tidsmæssig begrænsning på, hvor længe den opbevares (opbevaringsbegrænsning)
    • Fx sætte en periode hvorefter persondata slettes. Dette kan ligeledes laves af en politik på systemet eller generelt i virksomheden
  • Behandles med tilstrækkelig sikkerhed for at undgå hacking eller eventuelle tab af persondata (integritet og fortrolighed)
    • Fx at have firewall, logging og en begrænsning til relevante personer i active directive

Du skal som dataansvarlig påvise, at ovenstående bliver overholdt. Det kan du eksempelvis gøre ved at lave et systemlandskab, hvor du dokumenterer alle systemer i systemlandskab. Når vi gør det for vores kunder, ser det således ud: 

GDPR_systemlandskab.png

Billede 1: Systemlandskab 

blog_billedeindhold_600x300px_gdpr1.png

 Billede 2: Dokumentationstemplate

Konsekvensanalyser på behandling af persondata i stort omfang
Konsekvensanalyser (DPIA - Data Privacy Impact Assessment) skal laves hver gang nedenstående persondata behandles.  

  • Overvågning af offentligt område
  • Behandling af personfølsomdata, fx sygefravær i lønsystemet
  • Behandling af persondata i stort omfang, fx profilering i Google Analytics
    • OBS: Andre afdelinger i virksomheden er ikke nødvendigvis klar over, hvilken persondata der bliver behandlet i de enkelte systemer. BI-afdelingen kan med fordel være behjælpelig med at informere den afdeling, som er ansvarlig for at udføre konsekvensanalyser

Beredskabsplan
Du skal have en plan i forhold til at forhindre hacking eller direkte tab af persondata. Det er som sådan ikke BI-afdelingens opgave at udfærdige beredskabsplanen. Dog ligger der viden om systemers interaktioner, som er nødvendig for at udfærdige beredskabsplanen i BI-afdelingen. Derfor er BI-afdelingen en vigtig kilde til viden angående systemlandskabet. BI-afdelingen kan være med til at udfærdige beredskabsplanen, da den bør indeholde en oversigt over de behandlingsaktiviteter, der er i virksomheden samt viden om, hvilke data der bliver udvekslet mellem systemerne.

Persondatapolitik
Alle virksomheder skal have udarbejdet en persondatapolitik. Vær dog opmærksom på, at en for generel persondatapolitik kan hæmme arbejdet for den enkelte BI-afdeling. En persondatapolitik kan udformes på flere forskellige niveauer, lige fra en generelt plan over hele virksomhedens persondatapolitik, fx aldrig at forlade sin computer ulåst, at have et komplekst kodeord, der bliver udskiftet hver 90. dag, eller helt ned til hvor ofte data skal slettes i det enkelte system.

Denne kan dog komme ned og forstyrre behandlingen i de enkelte systemer. Derfor bør BI-afdelingen have indflydelse på persondatapolitikken, når det kommer til, hvordan data skal behandles, og hvilken der skal slettes i det enkelte system

Opsummering
Du og dine kolleger i BI-afdelingen skal som minimum have styr på:

  • Oversigt over behandlingsaktiviteter med henblik på udveksling af data mellem alle virksomhedens systemer
  • Om ansvarlighedsprincipperne er overholdt, og hvordan det påvises. Vi anbefaler, at du gør det i dokumentationen for det enkelte system.
  • Hvordan persondatapolitiken er udformet ift. til de enkelte system
  • Hvad der skal udarbejdes konsekvensanalyse på og hvem der skal udføre konsekvensanalyserne

Have no fear – Inspari GDPR is here
Jo før du starter arbejdet med GDPR, jo bedre. Du har udsigt til et omfattende dokumentations- og procesarbejde, men én ting er dokumentation, noget andet er at flytte data det rigtige sted hen. Og vi kan hjælpe med begge dele - enten i et samarbejde, fra sidelinjen eller som udførende.

Kontakt os på info@inspari.dk for at høre mere.