Steg 3: Finne tiltak

Etter at man har identifisert hvilke personopplysninger man har og hvorfor man har de, er det på tide å finne tiltak man kan gjøre for å være i samsvar med personvernforordningen.
Under finner du en liste over mulige tiltak virksomheten kan sette i verk for å bedre personvernet. Husk at selv om man har behandlingsgrunnlag, så er det allikevel krav om at personopplysninger skal slettes innen rimelig tid. Man er også pliktig til å ha tilstrekkelig informasjonssikkerhet.

Oppdatere personvernerklæringen

Når man har fått et fullstendig bilde av personopplysningene som lagres kan det være nødvendig at man oppdaterer personvernerklæringen. Alle registrerte har krav på å få vite hvilke opplysninger som er registrert og hva de brukes til, og dette skal være lett tilgjengelig og presenteres på en lettfattelig måte. Gå gjennom virksomhetens personvernerklæring og sjekk at man har med all behandling her.

Dersom dere ikke har en personvererklæring allerede er må det lages en og den må gjøres lett tilgjengelig for alle registrerte. Datatilsynet har laget en fin veileder som beskriver hvordan man tilfredsstiller kravene til informasjon og åpenhet. Den finner du her.

Rutiner for fysisk sikring

Dersom man i kartleggingen oppdager at data er oppbevart på måter som innebærer risiko for at personopplysninger kommer på avveie må det iverksettes tiltak for fysisk sikring. Dette kan være enkle ting som for eksempel låsing av arkivskap, låser på skuffeseksjoner og oppbevaringsmøbler på kontorer og ulike sektorer i kontorlandskapet med ulik tilgang.
En gjennomgang kan dessverre ofte resultere i at man finner ut at det er personopplysninger lagret i permer som står fritt tilgjengelig på hyller rundt om, i kontorer som står åpne eller i landskap. En annen typisk feil er at papirer med personopplysninger blir liggende uavhentet på printer. Her finnes det mange løsninger med at ansatte må taste en kode eller bruke nøkkelkort med RFID for at utskriften skal starte.
Alle som kan ha befatning med personopplysninger bør bevisstgjøres dette og det vil være fordelaktig om det utarbeides klare rutiner for hvordan papirer og utskrifter skal håndteres. Regelen om at man ikke har lov til å holde på personopplysninger legre enn det som er relevant gjelder også for papirer. Derfor kan det være smart å arrangere ryddedager på kontoret og lignende tiltak for å sørge for at man ikke oppbevarer gamle papirer. Husk også at papirene skal makuleres; å legge de til gjenvinning vil ikke være tilfredsstillende.

Eksempel på instrukser, rutiner og tiltak

Rutinemessig sletting av tilganger og data ved avslutning av stilling

Manuelle rutiner

I sin enkleste form kan en manuell rutine gå ut på at en administrator fjerner tilgangene til en ansatt i det de slutter, samtidig som hjemmeområde, mailboks og annet relevant innhold slettes. Dersom dette skal ivaretas med manuelle rutiner fordrer det et godt samarbeid mellom IT-avdelingen, avdeling for lønn- og personal og mellomledere. Mellomledere må gi beskjed når en ansatt sier opp eller bytter stilling, både til lønns- og personalavdelingen og til IT-avdelingen, eventuelt må ansvaret for å varsle IT-avdelingen tilfalle HR-avdelingen. Det må i begge tilfeller tegnes opp helt klare rutiner, og ansvaret må plasseres tydelig for å sikre seg at avslutninger blir fulgt opp skikkelig.
Det vil ikke være i henhold til personopplysningsforordningen å oppbevare filer og e-postarkiv fra personell som ikke lengre jobber i virksomheten.

Eksempel på sjekkliste

Automatiske og halvautomatiske rutiner

Man kan kjøre sletting ved manuelle rutiner, men det er antageligvis tryggere å sette opp løsninger som automatisk utfører denne jobben for å sikre at ikke det blir glemt. Det er ulike tilbyder på markedet som lager alt fra enkle løsninger med sjekklister som sendes til ledere og IT-ansvarlig, til mer avanserte løsninger (se tiltak: IDM). Dersom virksomheten benytter Active Direcory vil det være smart å benytte AD-brukeren til autentisering på så mange av applikasjonene som brukes som mulig. Dersom virksomheten benytter Azure AD kan man knytte fagsystemer opp i Azure Application Management som gir meget god oversikt over hvilke tilganger en bruker har og gjør det enkelt å avslutte dem.

Fullautomatisert livssyklus-håndtering av brukere (IDM-system)

For større virksomheter kan det være aktuelt med et system for livssyklus-håndtering av brukere.
Et avansert IDM-system (Identity Management System) vil hver dag hente uttrekk fra HRM-systemet (Human Resource Management). Det er her alle ansatte registreres når de starter, slutter eller endrer stilling. Å knytte tilganger, grupper og brukerkontoer opp mot HRM er svært nyttig fordi det reduserer sjansen for menneskelige feil (data punches ett sted), og man knytter tilgangene opp mot det mest oppdaterte systemet. I og med at lønn og kostnader knyttes direkte til avdeling og stillingsstatus i HRM-systemet, vil dette normalt være mer oppdatert enn de fleste andre systemer en virksomhet har.
Når IDM-systemet finner en ny ansatt vil det se på hvilken stillingstype personen har, og dersom det er en type stilling som skal ha databruker vil det opprette AD-konto, e-postkonto og et hjemmeområde som blir aktivert på angitt startdato. De mest avanserte IDM—systemene har også integrasjoner mot fagsystemer som for eksempel saksbehandlingssystem, slik at tilgang opprettes også her for de stillingstypene som skal ha slik adgang. Dette kan også kobles mot systemer for fysiske tilganger gjennom API mot nøkkelkort-systemer.
De beste systemene holder også orden på om en bruker skifter stilling, og avslutter tilgangene på tidligere stilling og innvilger tilganger som er relevante for ny stilling ved skifte. Dette vil hindre at en ansatt som har jobbet i en stor organisasjon i mange år har opparbeidet seg mange tilganger til ulike systemer i løpet av årene som egentlig skulle ha vært avsluttet.
IDM-systemet vil plukke opp når det er satt slutt-dato eller at en ansatt ikke lenger finnes i uttrekket. Da legges brukeren i karantene, og AD-brukeren med tilhørende stillinger settes til inaktiv så den ikke har tilgang på systemer og e-post lenger. Dersom det har vært en feil i HRM-systemet vil dette raskt avdekkes da den ansatte ikke kommer seg på e-post eller noen systemer, og brukeren kan enkelt hentes tilbake. Etter en periode (vanligvis 30 dager) vil hjemmeområdene og e-postboksen til brukeren slettes permanent.
Disse systemene er ganske kostbare og vanligvis ikke aktuelle for små og mellomstore bedrifter. De fleste som benytter slike systemer er store bedrifter med mange ansatte og virksomheter som skoler og universitet, som har stor gjennomstrømming av brukere som skal opprettes og avsluttes. En hyggelig bieffekt av et slikt system er at det også bidrar til å holde lisenskostnader i sjakk og at man kan spare på administrasjon.
De vanligste leverandørene av IDM-systmer i Norge er:

Automatisk sletting av filer basert på utløpsdato

Ved hjelp av Powershell og Task Scheduler kan man selv uten store budsjetter sette opp slik at filer i en mappe slettes hvis de ikke er endret etter et visst antall dager. Dette er rimelig enkelt og kan settes opp selv om man ikke har de helt store programmeringskunnskapene. Det vil fungere både på Windows Server og på klientene.
Det vil for de fleste ikke være aktuelt å sette på en slik task på alle mappene, men det kan være nyttig for å hindre at det ligger gamle ting i nedlastings-mappen for eksempel. I alle tilfeller bør man gå over søppel-folderen og sikre at det er automatisk sletting på den. I tillegg til å hindre at personopplysninger blir liggende sparer man også mye lagringplass på dette. Under vedlegg finner du en oppskrift på hvordan man setter opp dette for Windows 10.

Automatisk sletting av e-post basert på utløpsdato

E-postklienten inneholder ofte mye data man har liten oversikt over, både i e-poster og som vedlegg. Det kan derfor være nyttig å sette opp sletting av mail som er eldre enn for eksempel 30 dager. De fleste e-postklienter har muligheter for dette, i Outlook er det auto-archive funksjonen som vil brukes til dette formålet.
Det vil nok ikke være ønskelig for de fleste å slette all e-post etter en viss dato, men man kan innføre rutiner på at man arkiverer alt som skal tas vare på og auto-sletter det som blir liggende i innboksen. På denne måten tvinger man fram en mer bevisst holdning til hva man trenger å beholde og ikke. Det er også anbefalt å gå over innstillingene for sletting av området for slettede elementer, så man er sikker på at også disse blir slettet fullstendig etter en viss tid. En beskrivelse av hvordan man setter opp slik sletting i Outlook finnes under vedlegg.

Rutine for avhending av utstyr og papirer

Å rutinemessig kvitte seg med data og papirer med personopplysninger man ikke har grunn til å holde på er en naturlig konsekvens av personvernforordningen. Man må ikke glemme at denne avhendingen bør skje på en fornuftig måte. Som hovedregel bør alle papirer som kan inneholde personopplysninger makuleres. Når det gjelder lagringsmedier som USB-minnepinner, harddisker, CD-rom og så videre kan være litt mer komplisert, og norSiS foreslår følgende metoder:

Samskriving – å dele lenker i stedet for filer

I dag er det både billig og enkelt å benytte seg av ulike samhandlingsplattformer som gjør at ansatte kan samarbeide på et dokument uten at det må sendes fram og tilbake. Det finnes både gratis produkter som kan tas i bruk av små virksomheter, og mer avanserte og kostbare løsninger for større virksomheter. Å samskrive på sentralt lokaliserte dokumenter vil føre til bedre kontroll på hvor filer med personopplysninger befinner seg, og det er ofte også mer effektivt for brukerne. Dette gir også mulighet til å trekke tilbake tilgang til filer eller områder med umiddelbar virkning.
Noen eksempler på slike systemer er:

Tjenestene er generelt enkle å ta i bruk. Den største vanskeligheten med dette tiltaket vil være at man må endre folk sine vaner. Når folk er vant til å sende filer i stedet for lenker på e-post kan det være en tung jobb å endre på dette. Det er derfor viktig at ledelsen tar i bruk disse verktøyene aktivt og at implementeringen blir med i arbeidet med sikkerhetskultur. Her kan det være smart å vise til tegningene man laget over prosesser i kartleggingen, slik at man skaper en forståelse for hvordan man mister kontroll på data når det blir sendt rundt som vedlegg.
Kjøper man tjenestene levert på sky vil det også være viktig å forsikre seg om at leverandøren har en databehandleravtale som er i henhold til regelverket.

Maskinlæring som verktøy

Det finnes verktøy basert på maskinlæring som kan være til hjelp i arbeidet med å håndtere ustrukturerte data. Med slike verktøy kan man finne personopplysninger i det som ellers ville ha vært ikke-søkbare filer, som skannede kvitteringer eller dokumenter med håndskrift, filer på pdf-format, bilder med tekst på og lydfiler.

Det finnes selskaper som spesialiserer seg på å tilpasse maskinlæringsteknologi til å skaffe oversikt over personopplysninger. De beste systemene greier å skanne gjennom dokumenter og identifisere og tagge alle forekomster av én type data, som for eksempel alle navn på personer eller alle IP-adresser. Dette kan kombineres med sikkerhetsmekanismer, for eksempel kan man sette kryptering på alle filer hvor man finner et kredittkort-nummer. Et eksempel på dette er Microsoft Azure Information Protection (MSIP). SailPoint er en annen aktør som spesialiserer seg i å sette tilganger til forskjellige roller av brukere basert på kategorier. I tillegg finnes det løsninger som analyserer bilder og produserer søkbar tekst. Eksempler på detter er IBMs Watson og Microsoft Cognitive services.

Det som vil være en fallgruve her er at samtidig som man får oversikt, også skaper mer data med personinformasjon. Alle taggene på dokumentene vil utgjøre enda en registrering av personinformasjonen, og må også behandles i henhold til GDPR. Her blir det viktig å ha et bevisst forhold til hvordan man håndterer slike metadata.

Rutine for å svare ut spørsmål om innsyn

Hvis virksomheten allerede har gjort en jobb mot GDPR har den antageligvis allerede en rutine på plass for hvordan det skal svares ut når noen ber om innsyn. Hos mange virksomheter, kanskje de fleste, er dette noe som ikke skjer så ofte, og det er derfor ikke nødvendig med omfattende og dyre systemer for å kunne tilfredsstille kravet til innsyn. Det bør være klart defiinert og tilgjengelig for den registrerte hvordan den skal henvende seg for å få innsyn, og på virksomhetens side må ansvaret for hvem som skal svare ut disse forespørslene delegeres. Hvis man allerede har en instruks på plass for hvilke data som skal hentes ut kan man gå gjennom funnene fra kartleggingen for å identifisere andre steder man må se for å kunne gi et fullstendig svar på slike henvendelser.
Husk å informere alle i virksomheten om at også filer, eposter og lignende med navnene til registrerte kan bli utlevert på forespørsel, slik at de tar hensyn til dette i det daglige. Man må også ta inn i rutinen en måte å unngå at man lekker andres personopplysninger når det gis innsyn. En epost vil for eksempel inneholde andre e-post adresser i mottaker- og kopifeltet så de kan ikke sendes ut sånn helt uten videre.
En anne viktig ting å huske på er at man har en god rutine for å sjekke identiteten til den som ber om innsyn så man ikke leverer ut informasjonen til hvem som helst.

Jeg har sett gjennom alle tiltakene, hva skjer nå?

Når du har sett gjennom alle disse mulige tiltakene og vurdert hvilke som er aktuelle for din virksomhet, er det på tide å gå videre til neste steg: implementering!