Persondata, behandlingsgrundlag, sikkerhed og brud — sat ind i it-arbejdet
Næsten alt it-arbejde berører persondata: brugerkonti, logfiler, e-mail, kameraoptagelser, backup. Databeskyttelsesforordningen — i daglig tale GDPR (General Data Protection Regulation) — er en EU-forordning, der gælder direkte i Danmark og suppleres af den danske databeskyttelseslov. Den gælder, så snart man behandler oplysninger om identificerbare personer, og 'behandling' dækker stort set alt: indsamle, gemme, vise, ændre, dele og slette. Som tekniker er du sjældent den dataansvarlige, men du er den, der i praksis sætter sikkerheden op — så reglerne rammer dit arbejde hver dag.
Forordningen bygger på nogle grundprincipper, du kan bruge som tjekspørgsmål, hver gang et system håndterer persondata. De handler grundlæggende om kun at behandle det nødvendige, til et klart formål, sikkert og ikke længere end nødvendigt.
Man må ikke behandle persondata, bare fordi det er praktisk — der skal være et lovligt behandlingsgrundlag. Det kan fx være en aftale med personen, en retlig forpligtelse, en legitim interesse eller et samtykke. Visse oplysninger er særligt følsomme — fx helbred, fagforening, race, religion og biometriske data brugt til identifikation — og er omgærdet af skærpede krav. Som tekniker er pointen: vid hvilke data et system rummer, for følsomme data kræver stærkere beskyttelse end et almindeligt navn og en e-mailadresse.
Den dataansvarlige bestemmer formål og midler med behandlingen — typisk den virksomhed, du arbejder i eller for. En databehandler behandler data på den dataansvarliges vegne — det er fx en leverandør af en cloud-tjeneste. Når data lægges hos en ekstern leverandør, skal der være en databehandleraftale, der binder leverandøren til at beskytte data og kun behandle dem efter instruks. Vælger du eller anbefaler du en tjeneste, hører det med at tjekke, om den aftale er på plads, og hvor data fysisk ligger.
Forordningen kræver et sikkerhedsniveau, der passer til risikoen, men nævner bevidst ikke konkrete produkter eller talværdier — det skal afpasses efter, hvor følsomme data er, og hvad der kan gå galt. I praksis er det de samme værktøjer, du kender fra it-sikkerhed: adgangsstyring efter mindste privilegium, kryptering af følsomme data og af bærbare enheder, kryptering af data under transport, logning af adgang, opdatering af systemer og afprøvede sikkerhedskopier. Det nye er kravet om at kunne dokumentere, at man har truffet fornuftige valg.
Personer, hvis data behandles, har rettigheder, som it ofte skal hjælpe med at indfri rent praktisk: ret til indsigt i hvilke data der findes, ret til at få rettet forkerte oplysninger, ret til sletning i visse tilfælde, og ret til at få sine data udleveret i et brugbart format. Et system bør være bygget, så man rent faktisk kan finde, rette, udlevere og slette en bestemt persons data — kan man ikke det, bliver rettighederne svære at opfylde.
Et brud på persondatasikkerheden er, når data ved et uheld eller et angreb bliver tilintetgjort, tabt, ændret eller kommer til uvedkommendes kendskab — fx en stjålet bærbar, en fejlsendt mail med personoplysninger eller et hackerangreb. Et brud skal som hovedregel anmeldes til Datatilsynet inden for en kort, fastsat frist, og hvis det medfører høj risiko for personerne, skal de selv også underrettes. Derfor er det afgørende, at du som tekniker kan opdage og dokumentere et brud hurtigt — det er en af grundene til, at logning og overvågning ikke er til at forhandle om.
“Datatilsynet er den danske myndighed, der fører tilsyn med, at reglerne overholdes. Som tekniker behøver du ikke være jurist — men du skal kunne genkende, hvornår en sag er en databeskyttelsessag, og hvem du skal give besked.”
— Faglig grundregel i it-drift med persondata