GDPR fra et datalager-perspektiv

Publisert 07 nov 2017 Henrik Serlow og Roger Hedqvist, Knowit Decision

Informasjonslager inneholder, per definisjon, store mengder data, og å navigere blant de juridiske aspektene ved GDPR kan være litt av en utfordring. Men, det trenger ikke være et problem.

De aller fleste bør nå ha fått med seg at datavernet GDPR trer i kraft neste år. Nesten alle bedrifter og organisasjoner må på en eller annen måte forholde seg til de nye reglene, men nøyaktig hvordan og i hvilken grad, avhenger av virksomheten.

Datalagringsmiljøer påvirkes ekstra mye, på grunn av det rene datavolumet og sannsynligheten for at en betydelig del av dataene juridisk sett kan være personlige opplysninger. Det knyttes også usikkerhet til  hvordan de nye reglene skal gjennomføres i praksis. 

- Kan dette bli en katastrofe?

- Ikke i det hele tatt, sier Henrik Serlow, viseadministrerende direktør i Knowit Decision i Stockholm, og utdyper:

- GDPR er ikke så eksotisk som det virker. Forholder man seg korrekt til personopplysningsloven, behøver ikke overgangen å bli smertefull. Det er noen nye konsepter, men mange av disse er tilpasninger av eksisterende vilkår: et personvernombud kan for eksempel være selskapets GDPR-Officer. Samtidig bør man være klar over at dette er alvor: boten til en organisasjon som ikke følger GDPR kan bli skyhøy.  Det skal også dannes en ny type revisorer som bare skal granske direktivet, forteller han.  

Personlig informasjon er ofte viktig

Beskyttelse av personopplysninger er kjernen i GDPR, men i mange datalagre er personlige data nå helt sentrale. Retten til å bli glemt, noe som betyr at data på forespørsel kan slettes innen en viss tid, virker enkel ved første øyekast, men kan gi store konsekvenser:

- Noen ganger er det bare ikke mulig å slette alle historiske data. Det gjelder ikke bare banknæringen, men for eksempel personaldata i hvert selskap. De som gjør dette uten å tenke, får problemer ved neste revisjon, forklarer Henrik Serlow.  

- I Sverige knytter vi alt til personnummer, sier Roger Hedqvist, seniorkonsulent og prosjektleder i Knowit Decision.

- Det er utrolig greit, men EU er ikke så glad i det, for å si det mildt. Da må du satse på at direktivet mener at alt som kan knyttes til en enkelt person er personopplysninger, og det er en bredere fortolking enn personopplysningsloven. Sveriges eldste person er jo ikke anonym hvis man får adgang til aldersdata. Og selv kombinasjoner av enkelte anonyme opplysninger kan være følsomme, forklarer han.

Design bort problemene

En løsning er å utforme systemet slik at personopplysninger er beskyttet, i den grad de virkelig trengs. I noen bedrifter finnes det få alternativer, som for eksempel bankene: De holder på store mengder data på grunn av interne prosesser.

- Men datalager brukes til analyse, og det er viktig å spørre om personopplysninger virkelig er nødvendige for analyser, sier Roger Hedqvist, og utdyper:

- Sannsynligvis er anonymisering av analysedata en metode for mange. Det er alltid en løsning, men de må holde styr på datastrømmen, reise spørsmålet i arkitektråd og så videre. All utvikling i fremtiden skal applikeres til GDPR helt fra begynnelsen, sier han. 

Selv om Sverige er IT-modent og stresset før GDPR er større i mange deler av Europa i øyeblikket, er det en god idé å konstruere GDPR-samsvar i tide.

En god måte å starte på, er å sette opp prosjekter som gir åpenhet, og gå gjennom alle data - ikke bare de åpenbare personnumrene.

Deretter begynner prosessen med å sette opp strategier, overvåke hvordan underleverandører administrerer data og hvordan de interne prosessene ser ut: Hvordan håndteres revisjon, rapportering til kunden, eller avsluttede engasjement?

- Knowit hjelper gjerne til med prosessen, sier Henrik Serlow, og avslutter:

- Vi har vår egen gjennomgang av direktiv fra et IT-perspektiv, og det er lettere for oss å sette oss inn i det juridiske, enn for en advokat å sette inn i IT, forteller han.

Vil du jobbe hos oss, les mer om alle våre ledige stillinger her!

 

Til toppen