Hvordan ville jeg rydde op i vores følsomme oplysninger?

Det er en omfattede opgave at rydde op i en virksomheds følsomme data. Det gælder også hos os her i Safe Online. Men det er en nødvendigt opgave, hvis man vil sikre en ordentlig behandling af de følsomme oplysninger, man råder over. Som jeg ser det, kræver det en systematisk tilgang, for at få ryddet op.

I denne blog forsøger jeg at identificere de trin, der er involveret i en manuel oprydningsproces. Da denne manuelle oprydningsproces er kompliceret, vil jeg til slut addressere metodens største udfordringer.

At rydde op i en virksomheds følsomme data refererer til processen med at identificere, organisere, sikre og muligvis slette eller arkivere følsomme oplysninger i en virksomheds datasystemer. Udover identificering af data indebærer dette også typisk implementering af sikkerhedsforanstaltninger, uddannelse af medarbejdere, løbende revision af oprydningsprocessen og andre tiltag, der kan medvirke til at nedbringe éns GDPR-risici.

Oprydningen er afgørende for at opretholde datasikkerhed, overholde lovkrav og beskytte virksomheden. Processen for at rydde op kan se ud på mange måder. Der er ikke én standard for en dataoprydning. For at den skal være effektiv, bør processen skulle skræddersyes til den enkelte virksomhed.

Hvis jeg stod over for at rydde op i vores filer med følsomme oplysninger, ville jeg gå gennem følgende 7 trin:

1. Kortlæg IT
2. Analysér dataflow
3. Udfør risikovurdering
4. Koordiner oprydning
5. Implementér sikkerhedsforanstaltninger
6. Følg op
7. Dokumentér compliance

Trinene vil naturligvis se forskellig ud fra virksomhed til virksomhed, og vil derfor – som tidligere nævnt – skulle tilpasses jer.

Begynd med at lave en opgørelse over de IT-systemer, der anvendes i virksomheden til håndtering af persondata. Sørg for at notere softwaren, platformene og værktøjerne i samtlige afdelinger for at få en fuld forståelse af jeres virksomheds eksisterende IT-systemer.

Lav en analyse af dataflowet ved at snakke med nøglemedarbejdere fra alle afdelinger med henblik på at vide hvor persondata opbevares, og hvordan persondata flyttes i systemerne. Find ud af præcist hvilke medarbejdere der har adgang til hvilke persondata.

Udfør en analyse af risikoen ved at behandle persondata for hver enkelt IT-system. Denne analyse sammenholdes med analysen for dataflow med henblik på at lave en samlet risikovurdering for jeres arbejdsprocesser.

Herefter vil jeg starte samarbejde med nøglemedarbejdere fra afdelingerne for at igangsætte en systematisk oprydning af persondata. Sørg for at prioritere områder med højeste risiko først; eksempelvis hvor der er mest data med højeste risiko. Her er det vigtigt at have god kommunikation med afdelingerne for at lette processen.

Næste skridt er at implementere sikkerhedsforanstaltninger. Hvilke foranstaltninger man har brug for, afhænger dels af hvilke systemer man har og dels hvordan dataflowet er. Men sikkerhedsforanstaltninger kunne omfatte formulering og håndhævelse af krypteringsprotokoller, automatiserede dataopbevaringspolitikker og andre relevante regler for at styrke beskyttelsen af følsomme oplysninger. Samarbejd med IT-afdelingen er altafgørende, da mange har disse foranstaltninger indgår i IT-afdelingens arbejdsflade.

Organiser en tilbagevendende oprydning med regelmæssige (og realistiske) mellemrum. Dette mellemrum vil jeg basere på dels en vurdering af virksomhedens risiko og dels kompleksiteten af oprydningen. Her vil jeg prioritere områder, der indeholder de mest følsomme data.

Indfør rapporteringsopgaver for alle afdelinger. Dette sikrer, at du og nøglemedarbejderne har fingeren på GDPR-pulsen. Du kan se om oprydningsprocessen for den enkelte medarbejder forløber som planlagt, samtidig med at det fortæller dig hvor langt I er i oprydningen. Regelmæssig rapportering holder dig ikke kun informeret, men det giver dig mulighed for at levere opdateringer om GDPR-oprydningen til ledelsen.

Den største udfordring for virksomheder i forhold til at få ryddet op er at få overblikket. At vide hvilke IT-systemer og processer, der generer risiko, er afgørende. Det er derfor, at punkt 1-3 på min liste drejer sig om at få et overblik og identificere persondata. Når man ved dette, er man kommet langt i forhold til at få data slettet eller flyttet til en beskyttet placering. Overblikket er til gengæld også den opgave, som tager længst tid.

Mine syv trin er baseret på at rydde op manuelt. Men der findes en anden måde at rydde op. Her snakker jeg om brugen af software, der kan automatisere identificeringen af persondata i jeres IT-systemer. Ved at anvende software kan man automatisere trin 1, 2 og 3, mens punkt 4, 5, 6 og 7 vil være delvis afhjulpet. Personligt ville jeg naturligvis vælge denne løsning, da den er både langt hurtigere, men også mere grundig.

I Safe Online har vi udviklet DataMapper, som er et værktøj, der ved hjælp af kunstig intelligens kan lokalisere filer, mails og billeder med følsomt indhold på tværs af IT-systemer. Med DataMapper man kan springe de tidskrævende processer over det tager at rydde op manuelt. Dette gøres ved at give medarbejderne et værktøj til at rydde op i deres data. Ved hjælp af nøglestatistik får man som admin mulighed for at følge med fremskridt i oprydningen.