itSMF Norge

Nyhetsbrev fra itSMF: Del 1: Hvordan ITIL-rammeverket kan støtte GDPR

Publisert 24. mai 2018

Del 1: En oppsummering av de viktigste GDPR-kravene

Nå er tiden kommet! I morgen, fredag 25. mai trer den nye personvernforordningen i kraft i EU! Selv om EØS-landene har fått en drøy måneds utsettelse, så er det ingen grunn til å slakke på tempoet. De fleste virksomheter jobber nå hardt med nødvendige prosesser og rutiner som må på plass. En risiko for bøter på opp til 20 millioner Euro er for tiden en effektiv pådriver for mye godt sikkerhetsarbeid rundt om i norske bedrifter. 

Nye personvernregler, - ja det på høy tid! Verden har forandret seg en god del siden 1995, da det nåværende personverndirektivet ble etablert. I en hverdag der Facebook, Google, skytjenester, BigData, AI, IoT og smarte apper er blitt en selvfølge, er det utrolig viktig at både vi som forbrukere, og de som samler inn data, blir mer bevisst.

På itSMF-konferansen i mars holdt jeg foredrag om hvordan ITIL-rammeverket støtter GDPR, og fikk en oppfordring av styret om å følge opp med en artikkel. Siden jeg skriver til itSMF-folk regner jeg med at dere kjenner ITIL-rammeverket godt fra før. Likevel ble artikkelen så lang at jeg har delt den i to: 

•             Del 1: En oppsummering av de viktigste GDPR-kravene

-              svarer på spørsmålet: Hva er GDPR?

•             Del 2: Hvordan ITIL-rammeverket kan støtte GDPR
-              svarer på spørsmålet: Hvordan jobbe for å etterleve GDPR?

Del 1 gir altså en oversikt over de viktigste kravene i GDPR. Selv om de fleste nå har satt seg godt inn i regelverket, kan det være lurt med en rask repetisjon før vi begynner å snakke om implementering, risikostyring og etterlevelse. I del to av artikkelen vil vi se nærmere på hvordan ITIL-rammeverket kan brukes som støtte for GDPR. 

Del 1: Hva er GDPR? – en oppsummering av de viktigste kravene

Individets rettigheter 

De nye personvernreglene setter individet i sentrum. Vi skal eie våre egne persondata, og har rettigheter knyttet til hvordan våre egne data kan bli brukt. Vi har rett til innsyn i hva som er lagret om oss, rett til å korrigere feil og rett til å bli slettet og glemt. Vi har rett til å motsette oss automatiske beslutninger, og vi har til og med rett til å få med oss våre egne data på maskinlesbar form til en konkurrent. 

GDPR er basert på noen grunnleggende prinsipper 
Ett viktig prinsipp er at for all innsamling av persondata skal det kunne vises til en hjemmel. Innsamlingen skal ha en klar hensikt og dataene skal ikke benyttes til andre formål enn de ble samlet inn for. I noen situasjoner kan det argumenteres med kompatibelt formål. Det skal i tillegg lagres færrest mulig data, på ærrest mulig steder, på en trygg måte og de skal ikke lagres lenger enn nødvendig. Sletting av data kommer nok til å bli en av de største utfordringene. Det vil virkelig kreve en kulturendring. 


Sensitive persondata

GDPR stiller særdeles strenge krav til behandling av sensitive persondata, som for eksempel politisk syn, etnisk bakgrunn og seksuell legning. Dette er vi vant til. Det som er nytt er at det inkluderes to nye kategorier som skal behandles like varsomt, nemlig genetiske og biometriske data. Genetiske data kan for eksempel være DNA-analyser som viser sannsynlighet for arvelige sykdommer. Biometriske data inkluderer er alt rundt monitorering og overvåking, som for eksempel fingeravtrykk, ansiktsgjenkjenning og adgangskontrollsystemer. De som kjører salgskampanjer på nett må nå innhente samtykke for å drive målrettet profilering. Mange blir overrasket over at loggfiler som viser når folk logger inn og ut av systemer også kommer inn under denne kategorien, og må være godt sikret. 

Overføring til tredjeland
En av driverne for å få et felles regelverk var å gjøre det enklere å overføre persondata på tvers av landegrenser innen EU-området. Land som følger GDPR anses som trygge å utveksle persondata med. For overføring til land utenfor ordningen er det desto strengere krav. 

GDPR sier at overføring til tredjeland er forbudt, med mindre spesielle avtaler er på plass. Selvfølgelig vil vi fortsette med outsourcing til land utenfor EU, men da er det viktig å sette seg inn i hvilke avtaler som må på plass. Flere saker det siste årene har vist hvor viktig dette er, for eksempel saken med Helse Sør-Øst i fjor, der IT-arbeidere i Asia og Øst-Europa hadde fått tilgang til pasientdata på 2,8 millioner norske borgere. Og Nødnettsaken, der en underleverandør av en underleverandør ga en underleverandør i India tilgang til nasjonal-kritiske systemer.

Roller og ansvar
Med GDPR kommer en tydelig definisjon av roller, med tilhørende ansvar. Det kreves at behandlingsansvarlig og databehandler skal kunne vise en oversikt over hva slags persondata de prosesserer, og hvorfor. De må begge kunne vises til gode prosesser og jevnlige risikovurderinger. I tillegg skal alle nye tjenester som utvikles følge prinsippet om «Privacy by design, and by default». Både behandlingsansvarlig og databehandler må kunne demonstrere at de følger GDPR. Offentlige virksomheter, samt de som behandler store mengder sensitive eller biometriske data, må i tillegg ha en Data Protection Officer (DPO). DPO-rollen er omdiskutert. Slik den er definert i GDPR ligner den en revisor i en intern compliance-funksjon. Det skal altså ikke være en rådgiver, men en kvalitetskontrollør. DPO-rollen kan gjerne besettes med en ekstern ressurs, og det trenger ikke være en fulltidsstilling. 

Bøter og sanksjoner
Det blir spennende å se hvordan GDPR-landene vil klare å håndtere bøter og sanksjoner på en rettferdig, transparent og omforent måte. Det som er viktig å være klar over er at de aller høyeste bøtene, med øvre ramme 20 millioner Euro eller 4 % av omsetningen («whatever highest»), er forbeholdt ganske enkle overtredelser innen områder jeg har nevnt i denne artikkelen, nemlig brudd på individets rettigheter, grunnleggende prinsipper, og overføring til tredjeland. Ignorering av GDPR kan også medføre bøter. En bedrift som behandler store mengder persondata uten å ha gjort en eneste risikoanalyse, og i tillegg nekter Datatilsynet innsyn ved brudd, vil for eksempel ligge ganske tynt an. 

Krav til hvordan kravene skal etterleves
GDPR kommer ikke bare med krav. Det stilles også krav til hvordan kravene skal etterleves. Ved et brudd, vil det å kunne vise til gode prosesser og en godt gjennomført risikoanalyse kunne redusere boten betraktelig. Ja, kanskje eliminere den helt. Dermed kommer enda et perspektiv inn i bildet. Etterlevelse må kunne dokumenteres! 
Hvis Datatilsynet banker på døra, trenger du bevis! Bevis for at dere har god tilgangskontroll, for at det gjøres risikovurdering før store endringer og for at sikkerhetshendelser håndteres forsvarlig. Her snakker vi om dokumentasjon av daglige aktiviteter. Uten gode prosesser og tilhørende verktøystøtte, vil det være svært utfordrende å samle nok bevis. 

Jeg vil påstå at for virksomheter av en viss størrelse vil det rett og slett være umulig å demonstrere etterlevelse av GDPR uten et velfungerende styringssystem i bunnen. 


Hva er et styringssystem? 
Et styringssystem/kvalitetssystem definerer organisasjonens egne prosesser og rutiner, måten de utfører det daglige arbeidet på. I utformingen av sitt styringssystem kan virksomheten gjerne basere seg på anerkjente rammeverk, eller ta utgangspunkt i kravene i en ISO-standard. (ISO-standardene definerer god praksis for styringssystemer innen en rekke områder, inkludert ISO 27001 for informasjonssikkerhet.) 

Felles for alle moderne styringssystemer er at de tar utgangspunkt i Deming-sirkelen – selve kvalitetshjulet «Plan-Do-Check-Act» – der du planlegger noe, du utfører, måler resultatet og gjør korrektive tiltak. Dette er den prosessorienterte måten å jobbe på. Det holder ikke å ha prosessene definert. Det må også kunne vises til etterlevelse, og en strukturert prosess for kontinuerlig forbedring. Felles for alle moderne styringssystemer er også et krav om en risikobasert tilnærming.

ITIL som styringssystem 
For dere som har jobbet med ITIL-rammeverket høres nok dette kjent ut. Det er ikke så rart. ITIL-rammeverket definerer jo god praksis for styring av IT-tjenester, altså et styringssystem. Dersom din bedrift jobber etter ITIL betyr det at dere allerede har innført et styringssystem. Dere har strategi og mål definert, dere har prosesser implementert, dere vurderer risiko, og dere måler og forbedrer.


ITIL som fundament for GDPR
I del 2 av denne artikkelen vil vi se nærmere på hvordan ITIL-rammeverket er et glimrende utgangspunkt for å støtte GDPR-compliance. Vi vil se hvordan GDPR passer inn i de ulike livssyklus-fasene i ITIL, og hvordan GDPR-krav kan integreres inn i ulike ITIL-prosesser. 

Få med deg del 2 av denne artikkelen: Følg med på nyhetsbrevet fra itSMF neste uke! 


Om artikkelforfatteren
Signe-Marie Hernes Bjerke (Sigma), Teambyggerne AS
Signe-Marie Hernes Bjerke (Sigma) er cand. scient i informatikk og en erfaren konsulent innen informasjonssikkerhet, kvalitetssikring, risikostyring, måling og forbedring, både på forretningsnivå og innen IT.
Sigma jobbet 16 år i DNV GL før hun høsten 2016 startet for seg selv i Teambyggerne AS. Der er hun travelt opptatt som kursleder for en rekke ulike kurs, coach for både ledere og medarbeidere, og fasilitator for store og små samlinger. Med andre ord: Hun jobber med det hun elsker å jobbe med.

Bak seg har hun altså mange år i DNV GL (tidl. Det Norske Veritas). Der begynte hun å jobbe med GDPR allerede i 2014. Målet for DNV GL var å tilfredsstille EU-kravene til Binding Corporate Rules ("BCRs" to allow multinational corporations to make intra-organizational transfers of personal data across borders in compliance with GDPR). Kartlegging av persondata og etablering av rutiner og rammeverk for behandling av persondata i tråd med de nye reglene var en viktig del av prosjektet. Sigma har gjennomført kvalitetssikring av en rekke prosjekter, prosesser og ledelsessystemer hos eksterne kunder, og hjulpet ulike virksomheter med å få på plass rutiner og rammeverk for informa¬sjonssikkerhet iht. ISO 27000. Hun er ITIL Expert, Lean Black Belt forbedringsleder og har vært med på å lage eksamens¬oppgaver i ITIL, informasjonssikkerhet og Cyber Security som er brukt over hele verden. 

Sigma er opptatt av menneskene. Hun er en allsidig fasilitator og teambygger, og en rutinert pedagog. Hun holder blant annet kurs i ITIL, Lean, risikostyring og fasilitering. På hennes kurs kan du forvente aktivitet og interaksjon. Hun er Lead trainer i Glasspaper for GDPR og de nye personvernreglene.