Er GDPR en hæmsko for dit data warehouse?

Den moderne dataplatform i skyen er populær som aldrig før. Samtidig må det traditionelle data warehouse erkende, at det ikke længere kan stå alene. Nye datatyper fra nye kilder, data i realtid og brugen af machine learning er nemlig blot nogle af de krav, et traditionelt setup ikke kan imødekomme. Imens hænger GDPR som en mørk skygge over mange virksomheders data-ambitioner, fordi nye forpligtelser er kommet til – og det samme er bøderne. Men hvordan masserer du GDPR ind i den moderne dataplatform eller data warehouset? Det kan du blive klogere på i dette blogindlæg, hvor du får 3 konkrete råd på under 6 minutter. 

1) Risikobaseret tilgang

Som noget ganske grundlæggende stiller GDPR krav til, at du som dataansvarlig bruger en risikobaseret tilgang til behandlingen af personoplysninger. Det indebærer fx, at du på baggrund af en risikovurdering eller konsekvensanalyse implementerer passende tekniske og organisatoriske foranstaltninger. Du skal således eksempelvis overveje, hvordan du rent teknisk vil slette personoplysninger, når disse ikke længere er nødvendige. Foranstaltningerne skal have til hensigt at reducere potentielle trusler, der ligger behandlingen af personoplysninger.

Som dataansvarlig skal du som udgangspunkt udarbejde en risikovurdering, før du flytter personoplysninger over til en moderne dataplatform. En Konsekvensanalyse kan dog ikke undgås, men dette kommer jeg ind på nedenfor. 

2) Hovedrengøringen i datamassen

Først vil jeg gerne pointere, at GDPR stiller krav om, at virksomheder og offentlige myndigheder til enhver tid skal sikre, at der ikke bliver behandlet flere personoplysninger end højst nødvendigt. En helt generel opfordring er derfor, at der ikke bør behandles data, som ikke kan genkendes.

Databaser, tabeller eller kolonner, der er så uspecificerede, at man reelt set er i tvivl om, hvad de indeholder, bør altså blive konkretiseret eller slettet. Dette gælder naturligvis også, når organisationen flytter til en moderne dataplatform i skyen. Det vil også være et godt tidspunkt til for alvor at få ryddet op og struktureret den datamasse, der eksempelvis ligger i dit CRM-system.

3) Dokumentation, dokumentation og atter dokumentation

Efter GDPR er du forpligtet til at dokumentere en hel del, hvad end behandlingen af personoplysninger sker i en moderne dataplatform eller i et traditionel data warehouse. Min erfaring er, at mange vender det blinde øje til dokumentationskravene, da disse er for uoverskuelige eller unødvendige. Førend jeg kommer til, hvordan du kan forenkle dokumentationsprocessen, vil jeg gerne præsentere dig for nogle konsekvenser ved ikke at efterleve dokumentationskravene:

Hvad skal du så starte med at dokumentere? De personoplysningerne, som du behandler, selvfølgelig. Hertil kan jeg varmt anbefale PII Detection værktøjet fra Inspari. Det er et værktøj, der kan finde personoplysninger i dit data warehouse.

Dernæst skal du udarbejde fortegnelse over dine behandlingsaktiviteter og indhente databehandleraftaler, når personoplysninger eksempelvis indsamles gennem et CRM-system. Da de fem minutter er ved at være gået, så stopper jeg listen her, men der er meget mere.

Jeg vil dog gerne pointere, at selvom dokumentationskravene kan være en udfordring, så er det opbevaringen, ajourføringen og kontrollen af disse, der efter min mening, volder de største udfordringer. Jeg foreslår derfor, at du kigger dig om efter et passende compliance management tool. I Inspari bruger vi selv WiredRelations, hvilket vi er pænt begejstrede for.   

Hvad med eksisterende tiltag?

I tidligere blogindlæg har vi talt om, at den moderne dataplatform ikke anses som en erstatning for dit data warehouse, men snarere som en udvidelse. Derfor er arbejdet med at tilpasse data warehouset til de databeskyttelsesretlige regler ikke spildt. Langt hen ad vejen kan dokumentationen, procedurerne og kontrollerne, som du i dag bruger i data warehouset, blive overdraget til den moderne dataplatform. Og endda understøtte disse procedurer med automatiserede processer og anbefalinger til tiltag, der optimerer databeskyttelsen og/eller it-sikkerheden i din virksomhed eller myndighed.

Key takeaways

• Vælg en risikobaseret tilgang, når du behandler personoplysninger
• Få ryddet op og smidt overflødigt data ud
• Husk dokumentation og find et godt compliance management tool
• Eksisterende tiltag kan overdrages til den moderne dataplatform

Hvis du er interesseret i at vide mere om andre fordele ved den moderne dataplatform, kan jeg på det varmeste anbefale dig at læse blogindlægget Kommunerne i skyen.

Har du spørgsmål? 

Hvis du har spørgsmål eller tænker, at tiden er inde til et uforpligtende kald eller møde, kan du kontakte os på info@inspari.dk eller 70 24 56 55. Vi ser frem til at høre fra dig.

Du kan også hente vores guide til den moderne dataplatform. Den er gratis og tilgængelig herunder. 

Hent guiden gratis