//Databeskyttelsesforordningen kommer – få styr på dit it-systems rolle
Christian Callsen
Partner
cc@OptimumIT.dk
22. september 2016 GDPR

Databeskyttelsesforordningen kommer – få styr på dit it-systems rolle

Jeg er it-arkitekt, og deltog den 15/9-2016 i Dansk IT’s It Jura 2016 konference i København. Efter at have studeret deltagerlisten kort konstaterede jeg, at jeg var en del af det meget lille mindretal (ca. 5%) af deltagerne, der ikke havde en juridisk grad. Det viser sig, at det er helt relevant at deltage selvom man ikke er jurist. It-arkitekter på både kunde- og leverandørsiden kan få en helt nødvendig indsigt i at designe lovmedholdelige løsninger ved at deltage.

Jeg rådgiver bl.a. offentlige myndigheder om it-anskaffelser og bistår med kravspecificering og udbud. Persondataretten er i den forbindelse ofte involveret, da it-løsningerne næsten altid skal behandle eller opbevare informationer om landets borgere. Derfor er det vigtigt, at jeg deltager på konferencen; min viden om eksempelvis persondatalov, arkivlov og forvaltningslov er en forudsætning for at kunne præcisere vores kunders behov til deres it-systemer, særligt kravene til it-systemernes håndtering af persondata. Og af hensyn til mit tætte samarbejde med juristerne om it-anskaffelserne i den offentlige sektor, ser jeg det som attraktivt at modtage informationen i samme formidling som juristerne.

Databeskyttelsesforordningen er vedtaget af EU, og oversat af Justitsministeriet. Nu er Justitsministeriet i gang med at analysere behovet for nødvendige lovændringer i regi af Databeskyttelseskontoret. Deadline: lovforslag klar til oktober 2017.

Imens har it-arkitekterne forsat en opgave med at designe it-systemerne, så de er forberedt for indførsel af den lovgivning, der vil gælde fra 25. maj 2018.

Virksomheder og myndigheder skal både overholde lovgivning, sikre sig nødvendige foranstaltninger og kunne dokumentere det hele på tilsynsmyndighedens anfordring. It-systemerne skal stadig overholde persondataloven (det er ikke nyt). Men de skal fremadrettet også designes på en måde, så de er meget mere eksplicitte med håndteringen af data. It-systemerne skal understøtte indberetninger til tilsynsmyndigheden.

For det første skal it-systemerne mere tydeligt understøtte databehandleraftalen og instruksen fra den dataansvarlige (=it-arkitektens kunde). It-systemerne og data heri skal kategoriseres i instruksen – både registrerede personer samt registrerede personoplysninger.

Kategoriseringen kan fx udtrykkes via typer af data (fx “biometriske data”, ”genetiske data”, og ”kontaktinformationer”) såvel som følsomhedsniveauer for disse (fx ”almindelige oplysninger” og ”følsomme oplysninger”). Dermed bliver instruksen i databehandleraftalen, som it-systemet opererer under, lettere at definere og håndhæve. Få styr på data og datakategorier, og opmærk data i din database, så det er nemt at afgøre hvilken type data, der er tale om.

For det andet skal it-systemerne holde persondata klart adskilt fra øvrige data. Ved ”klart adskilt” forstår jeg, at databasen med persondata sidder som en selvstændig instans (om muligt) i databaseserveren, gerne med dedikerede fysiske harddiske under. Systemet bliver dermed forberedt for, at data før eller siden skal tilbageleveres eller slettes hos leverandøren, fordi myndigheden (=it-arkitektens kunde) transitionerer driften til en ny leverandør. Fysiske harddiske er billige – allokér dem dedikeret til it-systemet og undlad at dele. Og it-arkitekten skal samtidigt drøfte med driftsorganisationen, hvordan backups af data skal slettes eller destrueres.

Og for det tredje skal it-systemerne være skarpere på logning. Med indførsel af databeskyttelsesforordningen skal Danmark etablere en tilsynsmyndighed. Den dataansvarlige skal indrapportere til myndigheden – herunder ved ”incidents”.

De informationer, der i praksis kan indrapporteres, er fuldstændigt afhængig af de data, der logges. Ellers bliver et manuelt udtræk en tidskrævende affære. Og hvis data er opmærkede, er det lettere at være præcis, når der skal indberettes ved et ”incident”.

Med databeskyttelsesforordningen forventes et noget strammere tilsyn med løbende kontrol og revision af logningen. It-systemerne kan med fordel laves så logningen by default er tilstrækkelig til revisionskravet. Logningen er tværgående funktionalitet, så investeringen i genbrugelig logning hos leverandøren kan give pote i kommende opgaver.

Får du som systemleverandør styr på disse tre problemstillinger, er livet for din dataansvarlige blevet en hel del lettere.