Skip to main content

How I would clean up

Det er en omfattede opgave at rydde op i en virksomheds følsomme data. Det gælder også hos os her i Safe Online. Men det er en nødvendigt opgave, hvis man vil sikre en ordentlig behandling af de følsomme oplysninger, man råder over. Som jeg ser det, kræver det en systematisk tilgang, for at få ryddet op.

I denne blog forsøger jeg at identificere de trin, der er involveret i en manuel oprydningsproces. Da denne manuelle oprydningsproces er kompliceret, vil jeg til slut addressere metodens største udfordringer.

What does it mean to "clean up"?

At rydde op i en virksomheds følsomme data refererer til processen med at identificere, organisere, sikre og muligvis slette eller arkivere følsomme oplysninger i en virksomheds datasystemer. Udover identificering af data indebærer dette også typisk implementering af sikkerhedsforanstaltninger, uddannelse af medarbejdere, løbende revision af oprydningsprocessen og andre tiltag, der kan medvirke til at nedbringe éns GDPR-risici.

Oprydningen er afgørende for at opretholde datasikkerhed, overholde lovkrav og beskytte virksomheden. Processen for at rydde op kan se ud på mange måder. Der er ikke én standard for en dataoprydning. For at den skal være effektiv, bør processen skulle skræddersyes til den enkelte virksomhed.

A 7-step rake to clean up

Hvis jeg stod over for at rydde op i vores filer med følsomme oplysninger, ville jeg gå gennem følgende 7 trin:

  1. Kortlæg IT
  2. Analysér dataflow
  3. Udfør risikovurdering
  4. Koordiner oprydning
  5. Implementér sikkerhedsforanstaltninger
  6. Følg op
  7. Dokumentér compliance

Trinene vil naturligvis se forskellig ud fra virksomhed til virksomhed, og vil derfor – som tidligere nævnt – skulle tilpasses jer.

Modtag vores nyhedsbrev!

I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.

Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.

1. map IT

Begynd med at lave en opgørelse over de IT-systemer, der anvendes i virksomheden til håndtering af persondata. Sørg for at notere softwaren, platformene og værktøjerne i samtlige afdelinger for at få en fuld forståelse af jeres virksomheds eksisterende IT-systemer.

2. Analyze data flow

Lav en analyse af dataflowet ved at snakke med nøglemedarbejdere fra alle afdelinger med henblik på at vide hvor persondata opbevares, og hvordan persondata flyttes i systemerne. Find ud af præcist hvilke medarbejdere der har adgang til hvilke persondata.

3. Analyze risk

Udfør en analyse af risikoen ved at behandle persondata for hver enkelt IT-system. Denne analyse sammenholdes med analysen for dataflow med henblik på at lave en samlet risikovurdering for jeres arbejdsprocesser.

4. Coordinate cleanup

Herefter vil jeg starte samarbejde med nøglemedarbejdere fra afdelingerne for at igangsætte en systematisk oprydning af persondata. Sørg for at prioritere områder med højeste risiko først; eksempelvis hvor der er mest data med højeste risiko. Her er det vigtigt at have god kommunikation med afdelingerne for at lette processen.

5. implement security measures

Næste skridt er at implementere sikkerhedsforanstaltninger. Hvilke foranstaltninger man har brug for, afhænger dels af hvilke systemer man har og dels hvordan dataflowet er. Men sikkerhedsforanstaltninger kunne omfatte formulering og håndhævelse af krypteringsprotokoller, automatiserede dataopbevaringspolitikker og andre relevante regler for at styrke beskyttelsen af følsomme oplysninger. Samarbejd med IT-afdelingen er altafgørende, da mange har disse foranstaltninger indgår i IT-afdelingens arbejdsflade.

6. Follow up

Organiser en tilbagevendende oprydning med regelmæssige (og realistiske) mellemrum. Dette mellemrum vil jeg basere på dels en vurdering af virksomhedens risiko og dels kompleksiteten af oprydningen. Her vil jeg prioritere områder, der indeholder de mest følsomme data.

7. Document compliance

Indfør rapporteringsopgaver for alle afdelinger. Dette sikrer, at du og nøglemedarbejderne har fingeren på GDPR-pulsen. Du kan se om oprydningsprocessen for den enkelte medarbejder forløber som planlagt, samtidig med at det fortæller dig hvor langt I er i oprydningen. Regelmæssig rapportering holder dig ikke kun informeret, men det giver dig mulighed for at levere opdateringer om GDPR-oprydningen til ledelsen.

Start GDPR-oprydningen hvor det trænger mest

Følsomme data kan let ophobe sig i medarbejdernes mails. Med et GDPR Risiko-scan fra DataMapper får I en rapport, der viser potentielle GDPR-risici i virksomhedens Outlook-konti.

Here's where the chain comes off for most

Den største udfordring for virksomheder i forhold til at få ryddet op er at få overblikket. At vide hvilke IT-systemer og processer, der generer risiko, er afgørende. Det er derfor, at punkt 1-3 på min liste drejer sig om at få et overblik og identificere persondata. Når man ved dette, er man kommet langt i forhold til at få data slettet eller flyttet til en beskyttet placering. Overblikket er til gengæld også den opgave, som tager længst tid.

The shortcut to decluttering

Mine syv trin er baseret på at rydde op manuelt. Men der findes en anden måde at rydde op. Her snakker jeg om brugen af software, der kan automatisere identificeringen af persondata i jeres IT-systemer. Ved at anvende software kan man automatisere trin 1, 2 og 3, mens punkt 4, 5, 6 og 7 vil være delvis afhjulpet. Personligt ville jeg naturligvis vælge denne løsning, da den er både langt hurtigere, men også mere grundig.

I Safe Online har vi udviklet DataMapper, som er et værktøj, der ved hjælp af kunstig intelligens kan lokalisere filer, mails og billeder med følsomt indhold på tværs af IT-systemer. Med DataMapper man kan springe de tidskrævende processer over det tager at rydde op manuelt. Dette gøres ved at give medarbejderne et værktøj til at rydde op i deres data. Ved hjælp af nøglestatistik får man som admin mulighed for at følge med fremskridt i oprydningen.

Sebastian Allerelli

Grundlægger & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR

Følg mig på LinkedIn for at få små tips til GDPR her →

GUIDE

Håndtering af følsomme persondata

GUIDE

Sådan findes persondata med Datamapping

GUIDE

Forberedelse til et datatilsyn