GDPR (General Data Protection Regulation) er betegnelsen på den nye europeiske personvern lovgivningen som gjelder fra 25. mai 2018. Også Norge innfører denne, i henhold til EØS-avtalen. GDPR blir av mange ansett som primært å dreie seg om det juridiske, men det er mange IT-messige aspekter også. Så selv om GDPR hittil i stor grad har handlet om juss, har etter hvert IT-organisasjonene begynt å våkne opp.
Ikke bare for HR- og markedsavdelinger
Siden det dreier seg om å beskytte personorienterte data, så har man gjerne begynt der fokus har vært tidligere – på “personregistre”. Derfor er det personalavdelinger (ansattregistre) og salgs- og markedsavdelinger (kunderegistre) som har tatt tak i dette først. Men GDPR dreier seg ikke bare om registre eller databaser, det dreier seg om all informasjon som kan knyttes til identifiserbare personer, uansett lagringsformat. Det kan være dokumenter i Word, PDF eller Excel, og det kan være eposter etc. Og selvfølgelig gjelder det også saker registrert og håndtert i ITSM-verktøy.
Servicedesk er en av de enhetene innen IT som har mest med personer å gjøre. Veldig mye av det man jobber med er knyttet til identifiserbare personer. Feilaktig håndtering av personinformasjon i Servicedesk kan fort gjøre virksomheten åpen for sanksjoner fra myndighetene, i form av bøter som kan bli store (4% av virksomhetens totale årsomsetning for de mest alvorlige brudd). Selv om det er kriminelle som har «hacket» virksomheten kan man bli bøtelagt, hvis ikke databruddet oppdages og håndteres raskt nok.
Sentralt ved GDPR for ITSM
GDPR gjelder for de fleste, uansett jobb, uansett om det er en privat eller offentlig virksomhet man er i. Her er noen elementer fra GDPR som den ansvarlige for ITSM bør tenke over, og vurdere nødvendige tiltak:
- Gjelder ikke bare «personnummer»: Alle former for identifikasjon av en person er relevant. F.eks. brukernavn, epostadresse eventuelle biometriske data som benyttes for identifikasjon
- Gjelder både databehandler og dataansvarlig: Å hevde at det var den annen part (f.eks. i outsourcing eller SaaS) som er skyld ved en datalekkasje hjelper ikke – det er felles ansvar, også for å betale eventuell bot!
- Hurtig rapportering av datalekkasjer: Enhver datalekkasje skal rapporteres til alle som den omfatter. Offentlige myndigheter skal også varsles innen tre døgn.
- Flere rettigheter til de registrerte: En person har rett til å få se alt som er registrert om vedkommende (inkl. «få se alle saker hvor jeg er med»), få data korrigert, få data slettet (med mindre det er lover som begrenser dette), etc.
- Personvernombud påkrevet hos mange: Denne personen kommer til å «blande seg inn» i hvordan servicedesk håndterer informasjon og potensielt påvirke prosesser og rutiner
- Aksept for å bli registrert: Ved all registrering av personinformasjon må den det gjelder akseptere dette. Dvs. at man trenger rutiner (og systemer) som gjør det mulig å registrere at vedkommende har svart «ja»
- Internasjonale begrensninger: Krav som gjelder utveksling av data med virksomheter i andre land (spesielt utenfor EU/EØS) er strengere. Dette kan ha stor innvirkning på SaaS og outsourcing
- Dokumentasjon: Krav til at man ikke bare følger reglene, men kan dokumentere at man gjør det. F.eks. ha verktøy som kan finne igjen alle dokumenter relatert til en gitt person
Det er i skrivende stund ca. fire måneder til GDPR begynner å gjelde som del av norsk rett. Og selv om de største bøtene neppe blir benyttet fra dag 1, så må enhver virksomhet kunne vise at de i det minste tar personvern på alvor og jobber med å få alle systemer og funksjoner i samsvar med personvernforordningen GDPR, i alle avdelinger hvor personinformasjon håndteres på en eller annen måte.
For mer informasjon om GDPR i forhold til ITSM, kontakt salg@managenordic.no.