Den moderne teknologiske verden kræver mange forskellige digitale systemer for at få dagligdagen til at køre. Om du arbejder med økonomi, HR, Customer Relationship Management eller ganske enkelt bare sender og modtager e-mails, så anvender du et it-system – og dermed skal der tages stilling til databehandling.
Vi har talt med CIO hos RISMA, Nicolai Ascanius, der her deler et godt råd eller to til dig, der gerne vil have godkendt et nyt system eller en integration til et nuværende et af slagsen. Hvis du gør dit forarbejde godt, er der nemlig større chance for, at systemet går gennem den informationsansvarliges nåleøje.
Risikovurdering af system og databehandler
At få et nyt system godkendt kræver forudgående research og forståelse af systemet og leverandøren bag det. Har du de relevante informationer på plads, er det lettere for den informationsansvarlige at vurdere sikkerheden og eventuelle risici ved det nye system – og ikke mindst godkende det.
Nicolai Ascanius anbefaler, at du starter med at indsamle følgende oplysninger:
Databehandleraftale
En databehandleraftale er en juridisk kontrakt, der forklarer, hvordan personoplysninger vil blive behandlet og beskyttet af leverandøren (databehandleren) og dennes underdatabehandlere.
Behandlingslokation
Det er vigtigt at kende placeringen af leverandørens servere, samt hvordan data udveksles mellem dem. I lyset af Schrems II-dommen er det særligt vigtigt at være opmærksom på uautoriserede overførsler til tredjelande, herunder USA, da dette kan medføre risici for datasikkerheden og brud på GDPR-reglerne.
Amerikanske leverandører kan blive bedt om at udlevere dine data til deres egne myndigheder, uanset serverlokation, og dermed er der risiko for tredjelandsoverførsler. Du kan derfor med fordel sørge for, at dine data altid opbevares på servere i EU af europæiske leverandører.
Underdatabehandlere
Undersøg hvilke databehandlere leverandøren af det nye system samarbejder med, og sørg for, at de er angivet i databehandleraftalen. Du bør være opmærksom på at få en komplet liste, da underdatabehandlere også kan have deres egne underdatabehandlere.
Det er ofte muligt at fravælge eventuelle underbehandlere, og vores anbefaling er, at du så vidt muligt fravælger turn-key løsninger fra fx Amazon, da de ofte og hurtigt sender dele af dine data til USA for viderebehandling.
Det er vigtigt at være opmærksom på dette punkt, da det er let at sætte et hurtigt flueben ved en integration (fx til HubSpot) uden at overveje, hvad det kan have af konsekvenser for sikkerheden.
LÆS OGSÅ: Databehandleraftaler: En essentiel del af din databeskyttelsesstrategi
Formålet med systemet
Giv en grundig introduktion til systemet og forklar, hvorfor det er nødvendigt, samt om det vil behandle store mængder data og/eller følsomme oplysninger, så den informationsansvarlige kan foretage en risikovurdering.
Fordelene ved en solid godkendelsesproces for nye systemer
Det er ikke uden grund, at nye systemer skal godkendes, inden de tages i brug. Det er afgørende for at sikre, at organisationen får mest muligt ud af sin investering i ny teknologi, forklarer Nicolai Ascanius – og derudover er det selvfølgelig helt essentielt for sikkerheden.
Der er flere fordele ved en grundig godkendelsesproces. Først og fremmest bliver det lettere at sikre overholdelse af databeskyttelseslovgivningen og datasikkerhedsreglerne – fx GDPR. Samtidig er godkendelsesprocessen med til at sikre, at det nye system er kompatibelt med organisationens IT-infrastruktur, og ikke mindst at det kan integreres i arbejdsgangene uden større besvær for medarbejderne. Det er i øvrigt værd at nævne, at selve implementeringen ofte går nemmere, hvis der er integration med velkendte systemer i organisationen, fx Azure AD, så man får single sign-on med det samme.
Samtidig er den grundige forberedelse også en vurdering af systemets funktionalitet og ydeevne, hvilket er med til at sikre, at det nye system opfylder de forventede krav og behov. Den grundige godkendelsesproces hjælper dig kort sagt med at træffe velovervejede beslutninger, så det kun er det bedst egnede system, der forelægges den informationsansvarlige.
Få styr på dine systemer med... et system!
Mange organisationer har svært ved at finde hoved og hale i alle aspekter af databehandling, databeskyttelse og forsyningskædesikkerhed, hvorfor der ofte der ikke en gennemgående politik for nye leverandører og systemer. Det betyder blandt andet, at det kan være svært at udarbejde en oversigt over virksomhedens behandlingsaktiviteter samt at holde styr på alle de datastrømme, der er involveret.
Ved hjælp af en løsning til leverandørstyring og kontrakthåndtering bliver det nemmere for organisationen at identificere databehandlere samt kortlægge behandlingsaktiviteter i forsyningskæden. Det er med til at skabe et overblik, hvilket blandt andet gør det nemmere at identificere hvor og hvordan oplysninger behandles og opbevares, samt sikre at slettepolitikker overholdes inde og uden for organisationen.