//Persondataforordningen som løftestang for en sammenhængende it-arkitektur?
Nikolaj Skovmann Malkov
Chefkonsulent
nsm@OptimumIT.dk
9. februar 2017 GDPR

Persondataforordningen som løftestang for en sammenhængende it-arkitektur?

EU’s persondataforordning vil utvivlsomt få stor betydning for, hvordan vi it-understøtter forretningen. It-understøttelsen er en naturlig del af løsningen til en succesfuld implementering. Samtidig kan persondataforordningens naturlige fokus på arbejdsgange, information, informationssikkerhed samt respekt for individets ret til data give anledning til et tiltrængt it-arkitektonisk klarsyn. Herigennem kan katalyseres bedre sammenhænge, bedre datakvalitet og bedre it-sikkerhed omkring bl.a. det måske største aktiv i en virksomhed; kundeinformation. Der er således potentielle forretningsmæssige gevinster i halen af compliance-indsatserne, selvom hovedtendensen i øjeblikket er, at de fleste implementerer forordningen af frygt for de omfattende sanktionsmuligheder.

Når forordningen træder i kraft den 25. maj 2018, bliver fokus i langt højere grad end tidligere på beskyttelse af individets rettigheder og de dataansvarliges pligter i forhold til håndhævelse heraf. Forordningen byder på vidtgående krav, som det nok er urealistisk at forvente, at alle har styr på fra start. Samtidig skal vi nok også forvente en stor grad af opfindsomhed fra både leverandører og private og offentlige organisationer i forhold til at mitigere konsekvenserne og omgå visse af kravene. Meget er også stadig uvist i forhold til linjen i den danske implementering og håndhævelsen heraf. Vi kommer dog formentlig til at se et styrket datatilsyn og en central understøttelse af og opfølgning overfor virksomhedernes egenkontroller, bl.a. understøttet af initiativerne fra den såkaldte artikel-29-gruppe.

Persondataforordningen omfatter en række essentielle elementer til understøttelse af den egenkontrol, der er det bærende princip i forordningen. Ét af disse er Data Protection Impact Assessment (DPIA) (konsekvensanalyse). Med DPIA skal man redegøre for risici og konsekvenser for de berørte individers rettigheder i forbindelse med persondatabehandlingen. Dette udgør et væsentligt fokusskift fra den traditionelle sikkerhedsanalyse, hvor fokus typisk har været på konsekvenserne for den pågældende organisation.

Til DPIA’en skal man udarbejde en dataflowanalyse, hvor man redegør for persondatabehandlingen og de implicerede processer og it-systemer. Hvis man i forvejen har styr på sin informations-, forretnings- og it-arkitektur, er man godt hjulpet på vej her. Hvis ikke, er her endnu en løftestang for at komme i gang. Det betyder ikke nødvendigvis, at man skal ud og investere i komplekse it-arkitekturværktøjer. Mange kommuner er eksempelvis allerede godt i gang med KITOS, der netop på et overordnet plan holder styr på it-systemer, opgaver/processer og kontrakter.

Det er op til de dataansvarlige og databehandlende organisationer at udføre egenkontrol til efterlevelse af kravene til behandling af persondata – og dokumentere det! Et informationssikkerhedsledelsessystem som fx ISO27001 er en glimrende løsning i forhold til at løfte og dokumentere egenkontrollen. Hvis man med et informationssikkerhedsledelsessystem har fuldt overblik over og dokumentation af sine processer for brugernes adgange til de rette, og netop kun de rette data og brugerstyring som fx rettidig nedlæggelse af brugeradgange, er man også her godt hjulpet. For it-arkitekten giver overblikket yderligere mulighed for eksempelvis at understøtte virksomhedens personaleadministrative processer. Mange kommuner er allerede i fuld gang med at implementere nye processer og løsninger til brugerstyring i forbindelse med rammearkitekturen. Her er øvelsen lige så meget at undgå at få opbygget redundante løsninger, hvor informationssikkerhedsledelsen og arkitekturstyringen kører i adskilte siloer.

Databehandleraftaler er ikke en ny opfindelse i persondataforordningen. Men kravene er strammet op, således at databehandlerens eventuelle brug af under-databehandlere nu også skal fremgå af aftalen. Kan letvægtsredskaber som KITOS mon ikke også her bruges som den kommunale it-arkitekts redskab til at sikre, at man som dataansvarlig har styr på databehandleraftalerne i alle led?

I mange virksomheder og offentlige organisationer er der på forhånd fokus på indkøbsprocessen og overblik over it-systemer og ikke mindst de tilhørende kontrakter. Med henblik på at sikre en sammenhængende it-arkitektur og it-systemportefølje er der god ræson i for en central it-arkitekturfunktion at være med inde over it-indkøbsprocessen. Mange steder ser man dog, at det kan være svært at nå ud i de decentrale dele af organisationen, hvor linjeledere med forretningsansvar måske ikke ser it-arkitektens indblanding som andet en potentielt forsinkende og fordyrende.

I forhold til persondataforordningen kan det dog være af afgørende betydning, at der er nogle centrale godkendelsesprocesser på plads i forbindelse med it-anskaffelser. Som eksempel har været nævnt en kommune, hvor en hjemmeplejeenhed ville anskaffe en simpel app til monitorering af borgere via mobilen. Den kostede få tusinde kroner årligt og kunne anskaffes med få klik. Kommunen havde dog en central godkendelsesproces for alle it-anskaffelser, der gjorde det muligt at sikre, at anskaffelsen også blev vurderet i forhold til krav om persondatasikkerhed. Kommunen fik i den forbindelse klarlagt, at app’en indsamlede persondata og registrerede disse i en central database, som kommunen ikke kunne få oplysninger om eller sikre sig kontrol over.

Det er ikke et onde, at det er nemt og hurtigt at anskaffe sig løsninger. Men virksomheder og offentlige organisationer er med persondataforordningen for øje nødt til at indrette sig efter, at risikoen for persondatakrænkelser følger ligeså nemt og hurtigt med.

Dataportabilitet er endnu et centralt element i persondataforordningen. Dataportabilitet dækker kort sagt over, at man som individ har ret til at kunne trække sine data ud og overdrage disse til en anden leverandør i et struktureret, anvendt og maskinlæsbart format. Det er en gammel traver, hvordan sådan en sætning præcist skal fortolkes. Artikel 29-arbejdsgruppen nævner i deres vejledning, at de anbefaler datastandarderne fra EU’s arkitekturprogram. På den baggrund er det velkomment, at initiativ 8.1 i den fællesoffentlige digitaliseringsstrategi netop kigger i den retning.

Kravene om dataportabilitet kommer nok til at gøre mest ondt på sociale medier, musiktjenester og lignende, der i høj grad lever af kundernes persondata. Hvad gør f.eks. Spotify, Endomondo og Facebook, når du den 26. maj 2018 står med en USB-stik i hånden og beder om at få udleveret dine persondata.

Offentlige myndigheder eller andre organisationer, der indsamler oplysninger på vegne af det offentlige med et legitimt formål, er som udgangspunkt ikke underlagt kravene om dataportabilitet. Alligevel skriver artikel-29-gruppen, at det opfattes som god praksis at etablere processer for automatisk at kunne besvare ønsker om dataportabilitet. Som eksempel nævnes let adgang til at hente tidligere års selvangivelser. Dataportabiliteten kunne også tænkes at omfatte elevers egne læringsdata, sundhedsdata fra pleje og omsorgssystemer og lignende. Et måske naivt håb kan i den forbindelse være, at kravet om dataportabilitet kan være en løftestang til én gang for alle at slippe for, at myndigheder skal diskutere dataejerskab med leverandørerne og betale i dyre domme ved leverandørskift. Med persondataforordningen bør det således være klart, at det er individernes egne data. I praksis skal vi dog nok forvente nogle iterationer og sværdslag for at komme dertil, og det vil fortsat være essentielt, at myndighederne husker at stille krav om dataportabilitet ved kommende it-anskaffelser.