Et informationsaktiv er et aktiv, som indeholder information. Dette kan være et elektronisk aktiv fx et softwareprogram, en database eller et fysisk aktiv fx en bærbarcomputer eller et arkiv med dokumenter.
Al din behandling af personoplysninger foregår via disse informationsaktiver, og derfor er det en god idé at kortlægge samtlige.
Hvorfor dokumentere sine informationsaktiver?
GDPR kræver, at du skal behandle personoplysninger sikkert. For at sikre dette, så skal du sikre behandlingen i alle de aktiver, hvor du foretager en behandling af personoplysninger dvs. informationsaktiverne.
Du skal derfor lave en kortlægning af alle dine informationsaktiver, så du bagefter kan sikre, at du efterlever GDPR-reglerne i praksis.
Prøv selv at kortlægge og dokumentere dine informationsaktiver med .legal A/S’s gratis GDPR compliance software.
Kategorier
Her kan du blive inspirereret til nogle af de informationsaktiver, som du kan kortlægge i din virksomhed.
Software
- Lokalt installeret på computere
- Cloudsystemer
Hardware
- Bærbare computere
- Stationære computere
- Smartphones
- Videokameraer
- Kameraer
- SD-kort
- USB
- Servere
- Eksterne harddiske
- Adgangskontrol (adgangskort, fingeraftryk, etc)
Fysiske aktiver
- Mapper
- Arkiver
- Lister (fx på tavler)
Databehandlere
Flere af dine softwareudbydere vil formentlig være databehandlere, og her skal du være opmærksom på, at GDPR-reglerne stiller særlige krav til behandling af persondata udenfor EU, udarbejdelse af databehandleraftale, samt tilsyn til databehandlere.
Serviceudbydere
For at skabe det fulde overblik af behandlingen af persondata, så kan det være en god idé at kortlægge samtlige serviceudbydere fx banken, telefonselskab, mv. Disse behandler også personoplysninger, og ansatte i dine virksomhed kan have adgang hertil. Derfor bør du også kortlægge disse, så du kan sikre dig at personoplysningerne behandles i overensstemmelse med GDPR-reglerne.
Metoder til kortlægning
I en større virksomhed vil en grundig kortlægning kræve, at man interviewer alle enhedscheferne, så man får afdækket alle de redskaber, som enheden anvender.
Interviewet kan også erstattes med et spørgeskema med nogle guidede spørgsmål.
I en mindre virksomhed kan du formentlig nøjes med at tale med direktøren eller anden medarbejder med et overblik af virksomhedens aktiviteter. De vil typisk have et tilstrækkeligt overblik af alle virksomhedens aktiviteter.
Oprems alle aktiver
I selve kortlægningsarbejdet kan det være en god idé at opremse samtlige informationsaktiver, som virksomheden benytter sig af. Bagefter kan I vurdere om der behandles personoplysninger i informationsaktivet.
Det er lettere at foretage vurderingen af om der behandles personoplysninger bagefter, da mængden af “personidentificérbare oplysninger” ofte er langt større end de fleste ikke-GDPR-bevidste medarbejdere har opdaget fx IP-adresser og logins.
Fordele ved kortlægning af informationsaktiver
Der er fordele forbundet med at lave en god kortlægning af sine informationsaktiver og herefter lave et register med disse.
- Et register med dine informationsaktiver bidrager til at dokumentere din behandling af personoplysninger. Du kan anvende registeret til at registrere, hvor informationsaktiverne opbevares, hvem har adgang og ansvar, samt hvordan at personoplysninger behandles og eventuelt bortskaffes.
- Du kan holde styr på dine databehandlere i et register, og tilkobe information om fx tilsynsfrekvens, ansvarspersoner, mv., så du kan holde godt styr på disse i praksis.
- Du kan lave en kobling mellem kortlægningen af dine behandlingsaktiver med de tilhørende informationsaktiver, som anvendes i behandlingsaktiviteten(/forretningsprocessen). Dette gør dig i stand til at lave en kobling mellem virkelighedens forretningsprocesser og de tilhørende redskaber, som anvendes til behandlingen.
- Du kan foretage en risikovurdering af hver enkelt informationsaktiv, og gemme resultatet i registeret. Herefter kan du anføre i registeret hvordan risikoen fx kan nedbringes eller hvad du allerede har gjort for at indføre passsende sikkerhedsforanstaltninger.
Er det vigtigt?
Kræftens Bekæmpelse fik en bøde på 800.000 kroner, som blandt andet omhandlede, at de havde fået stjålet bærbare computere med adgang til personoplysninger, som ikke havde kryptering. Derfor havde tyvene mulighed for at tilgå personoplysninger på lokalt på bærbare computere. Det samme har været tilfældet for fx Hørsholm og Gladsaxe kommune.
De stjålne computere var ikke krypterede, og derfor kunne personoplysningerne på de bærbare computere i princippet tilgås, og det var derfor en kompromittering af persondatasikkerheden.
Kortlægning af alle virksomhedens informationsaktiver inklusive bærbare computere kan hjælpe til at kaste lys på hvor, at der behandles personoplysninger (inkl. opbevares personoplysninger). Herefter, så kan man foretage en risikovurdering af informationsaktivet (fx risikoen for at få stjålet bærbare computere), og om nødvendigt indføre passende sikkerhedsforanstaltninger, hvilket er et krav i GDPR.
Hvis du ikke får kortlagt alle dine informationsaktiver, så risikerer du at havne i samme situation, hvor du ikke har fået tilstrækkeligt sikret nogle personoplysninger, som var i et overset informationsaktiv.
Opsummering
Det er ofte de mest basale fejl, som bringer virksomheder i knibe.
En basal kortlægning af alle virksomhedens informationsaktiver giver dig mulighed for at tage stying på alle informationsaktiverne fremadrettet.