- om hvordan man slipper afsted med at ignorere persondataforordningen

Foto: Nikolas Noonan, Unsplash

Af datamanager Kristian Kyhl Jensen, DEFACTUM

Vi skriver året 2016. Det trækker op. En front med kulsorte skyer er langsomt men sikkert på vej mod os fra området omkring Bruxelles, i form af en 88 sider lang forordning om databeskyttelse. Formuleringer som databehandlers ansvar, passende tekniske foranstaltninger og overtrædelse straffes med bøder op til €10.000.000,00 truer med at disrupte vores hyggelige og trygge tilværelse som udviklere af vores nye fine dataindsamlingsværktøj e-Trial og e-Monitorering - VORES DATA ER I FARE!

Det krævede mod og ikke mindst tålmod for vores lille gruppe af datakyndige medarbejdere, der granskede de 183 betragtninger i præamblen og de 99 artikler i selve forordningen.

Vi kom frem til det resultat, at 1) vores data ville først være i fare en gang i maj 2018, hvor forordningen ville træde i kraft; 2) der skulle være nogle overordnede rammer, som regionen tog sig af; og endelig 3) et princip om fornuftsbaseret tilgang til behandling af data.

Og hvordan skulle sådan en fornuftsbaseret tilgang så fungere i praksis? Svaret var faktisk givet på forhånd. Vi skal til at vurdere risikoen i alt vi foretager os, i alt vi har omkring os og i alle de værktøjer, vi bruger – og så træffe vores forholdsregler. Risikoen skal sænkes mest muligt, eller sagt mere mundret:

Identificér -> Vurdér -> Mitigér

Så var det jo bare om at komme i gang, eller det skulle man da tro. I praksis en smule mere vanskeligt, for vi havde en - ikke ubegrundet - nagende følelse af, at der sikkert var kæmpe huller i vores identificeringsproces.

Vi manglede ganske enkelt systematik og en metode, der kunne tvinge os til at ensrette vores arbejdsprocesser. Det er her ISO 27001 kommer ind i billedet: Den internationale standard for informationssikkerhed. Hverken mere eller mindre, og det fede ved den er, at den kan benyttes til alt, lige fra bitte små projekter til multinationale virksomheder.

Med ISO'en i hånden blev vi blidt ført rundt i hele vores univers, først de overordnede domæner, hvor vi har de fysiske aktiver, altså der hvor vi snakker om tyveri, indbrud, den tabte USB-nøgle og de fortrolige dokumenter, der ligger og flyder på eller under skrivebordet. Så er der de datamæssige aktiver, altså vores projekter, opsætning og nedlukning af samme, systemer og redskaber og alt hvad der truer disse: Cyberangreb, hacking eller datalæk. Endelig er der det temporære aspekt: Hvordan vi bibeholder et højt niveau af sikkerhed, eller med andre ord, det, der sikrer, at vi ikke bare sætter et stort sikkerhedssystem op og så lader det ligge i skrivebordsskuffen.

Foto: Søren Sander, DEFACTUM

For hvert domæne blev spaden stukket et niveau dybere. Lad os tage de datamæssige aktiver som eksempel. Her er et væsentligt element kommunikationssikkerheden. Vi fulgte ISO’en, der bl.a. ledte os til at tage stilling til informationsoverførsel og endelig afsendelse af elektroniske meddelelser indeholdende personfølsomme data. Så var det tid til at tage den sorte hat på. Hvad kan gå galt, når man sender en fortrolig e-mail? Man kan sende til den forkerte adresse, den kan blive opsnappet, eller den kan blive sendt til en mailserver uden for EU. Der er altså her en betydelig risiko, særlig mandag morgen kl. 8 inden morgenkaffen – og konsekvensen desto værre.

Næste skridt blev derfor at minimere risikoen ved at udfærdige en retningslinje, som forbyder afsendelse af persondata til usikre adresser, at adressen skal kontrolleres inden afsendelse, at data krypteres, at krypteringsnøglen formidles gennem anden kanal (fx SMS), og at mailen slettes fra sendt post efter afsendelse.

Den opmærksomme læser vil nu indvende, at sådan en retningslinje da ikke sikrer noget som helst andet end at samle støv i arkivet. Det er fuldstændig korrekt – og jeg er altså heller ikke færdig endnu. Sidste skridt mangler: Instruksen – anvisningen til, hvordan tingene skal udføres i praksis. Heri beskrives så kort som muligt, hvorledes man sikrer korrekt adresse, hvordan man krypterer, og hvilke ting man øvrigt skal huske. For at sætte trumf på kan man udfærdige en tjekliste, som den udførende skal udfylde og arkivere, men så går man også med livrem og seler (i hvert fald i dette tilfælde).

Den dårlige nyhed er, at man skal igennem denne proces for alle de fysiske og datamæssige aktiver, man ved hjælp af ISO’en bliver gjort opmærksom på.  Og i forbindelse med fx vores serverdrift eller ved projektopstart er der da en del at tage stilling til, men hold ud! Når arbejdet først er gjort, så giver det mulighed for i dagligdagen at koncentrere sig om det vigtige: selve projektet, udviklingsopgaven eller hvad man nu arbejder med, for – Hvordan er det nu jeg håndterer en defekt harddisk? Jeg tjekker instruksen. Hvordan dokumenterer jeg projektopstarten? Jeg tjekker instruksen. Hvilken hjemmel arbejder jeg under? Jeg tjekker instruksen. Hvordan …? Jeg tjekker instruksen. Hov, den mangler! Jeg tjekker instruksen for, hvordan man skriver en ny instruks.

Tilbage har vi den temporære del. Den beskriver de opgaver, der sikrer informationssikkerhedssystemets aktualitet. Her har vi valgt bl.a. årligt at gennemgå retningslinjer, instrukser samt evt. uregelmæssigheder og informationssikkerhedsbrud, halvårligt at gennemgå, hvilke brugere, der har adgang til systemerne, gennemgå logger, audit trails og udfyldte tjeklister samt indhentning af interne og eksterne sårbarhedsrapporter.

Ja, det kræver en del forarbejde at opbygge et informationssikkerhedssystem, men når det først kører, har man mere tid til det egentlige, endda også sammenlignet med præ-ISO-æraen. Historien er, for nærværende, endt lykkeligt for os. Vi har netop modtaget vores femte årlige revisionserklæring uden væsentlige afvigelser – og så er intet øje jo tørt.