Få nu GDPR og Datasikkerhed væk fra IT-afdelingen

I skrivende stund, 28. september 2017, er nedtællingen er i fuld gang. 239 dage til forordningens ikrafttrædelse den 25. maj 2018. Implementering i landets små som store virksomheder og organisationer er i fuld gang – men ligger ansvaret og ejerskabet det rigtige sted i organisationen?

Vi har set massive ansættelser i IT-afdelingerne, alle vil have sikkerhedskonsulenter med kendskab og speciale i GDPR (General Data Protection Regulation). IT-afdelingerne er ved at drukne i dokumentationskrav, processer og procedurer. IT-afdelingerne kan ikke klare opgaverne og direktørerne ser rødt. Kan det tænkes at det er fordi at ansvaret og ejerskabet ikke er placeret det korrekte sted i organisationen?

Den administrerende direktør/CEO er den rette ejer – ikke IT-chefen!

Jeg ser det, at mange ledere ser implementeringen af GDRP, samt det at blive Compliant, som et IT-projekt med fokus på systemsikring, som værende en af GDPR’s største trusler. Vi ser derfor ofte, at GDPR placeres i IT-afdelingen, eventuelt med juridisk støtte, men med IT-chefen som ejer. I kan jo spørge jer selv i tilfælde af at I har/skal have en datasikkerhedskonsulent eller DBR (Databeskyttelsesrådgiver/DPO), hvor er denne placeret organisatorisk?

Jeg har efterhånden talt med mange jurister, IT-chefer, IT-sikkerhedskonsulenter, GDPR konsulenter, direktører og topledere, desværre er holdningen rimelig ens: GDPR er IT-chefens ansvar og hans projekt at styre!

Omend jeg har talt med mange, har jeg dog ikke belæg for at afgøre, om der er tale om en trend og generelt billede, eller blot mange sammenfald af samme karakter. Dog har jeg set nok til at se et foruroligende mønster tegne sig. Jeg vil derfor gerne udfordre beslutningstagerne og opfordre dem til at se indad og opad.

Få nu flyttet og ejerskabet hen hvor det hører til! Min klare overbevisning er at vi på sigt vil se GDPR og Datasikkerhed i stigende grad vil blive flyttet ud fra IT-afdelingerne og ind i ”Datasikkerhed og Compliance” stabsenheder placeret lige under direktionen. Det er jo ikke IT-chefen, der er den reelle ejer. Det er topledelsen, der overfor bestyrelsen skal forsvare en eventuel 2%, 4% eller € bøde.

Virksomhedens DNA og mindre anarki

GDPR og Datasikkerhed er ikke (kun) en IT-opgave. Det er en af grundpillerne for enhver virksomhed, at hele forretningen fra direktionen og på tværs af alle afdelinger og operationelle enheder skal være Compliant. Trods det, mener jeg stadig at GDPR og Datasikkerhed er en overkommelig øvelse. Det handler om at tilgå de enkelte faser på en systematisk og analytisk måde, og vurdere compliancegraden for første iteration af GDPR’s livscyklus. Af samme årsag skal GDPR projektet ikke defineres som et typisk implementeringsprojekt med en start og slut dato.

Selvfølgelig vil GDPR og datasikkerhed afføde IT - såvel som andre projekttyper, men GDPR og datasikkerhed er ikke et projekt i sig selv. Det er en del af virksomhedernes DNA og være en naturlig del af vores virksomhedskultur og adfærd. Se på GDPR og datasikkerhed som et ”fra vugge til grav” element på lige fod med at møde til tiden og velforberedt, aflevere bilag til bogholderiet for køb eller aflevere kørselsregnskab.

Lederne skal træde mere i karakter og være mere konsekvente. Tiden er ved at løbe fra ren tillid og frie tøjler. Vi skal stille krav og forlange at processer og procedurer følges, overholdes og dokumenteres. Jeg har alt for mange steder stødt på ”ja men, sådan har jeg gjort de sidste 20 år…”, den går bare ikke længere. Bekvemmelighed har altså ikke første prioritet mere!

Årshjul og træning, træning, træning

Uddannelse, Awareness, netværk, ambassadører, dokumentation og revideringer af politikker, processer og procedurer, nye beredskabsplaner og øvelser der tager højde for nye trusselsbilleder, skal være en naturlig del af virksomhedens forretning. Det burde havde været en fast del allerede for 17 år siden. At der så nu kommer en økonomisk sanktion, der tvingerne os til at tage det alvorligt – det er helt fint med mig.

Det er ikke nogen nem opgave at skulle ændre traditioner og adfærd, endnu sværere er det at afdække uformelle strukturer og tavs viden. Få formaliset og synliggjort GDPR og Datasikkerheds politikken og indholdet. Lav et årshjul, giv roller og ansvar.

GDPR som konkurrenceparameter

GDPR gælder for alle, kan det så være et konkurrenceparameter? Min påstand er, at det kan det og vil det i allerhøjeste grad blive.

Vil du bruge en leverandør, der ikke har styr på sine databehandleraftaler, samtykkeerklæringer eller ikke kan påvise at behandlingsprincipperne overholdes? Eller en leverandør der udstilles på Datatilsynets hjemmeside?

Regeringen har i det nyt finanslovforslag lagt op til, at Datatilsynet får en kapitalindsprøjtning på 54% i forhold til 2017. Måske er det ikke nok til at løfte opgaven fuldt ud, men helt klart et signal om, at der er skærpet opmærksomhed omkring tilsynets kommende opgaver. Jeg tror, at vi vil se et Datatilsyn med Cristina Angela Gulisano i spidsen, der ikke tager let på deres opgave om at føre tilsyn med GDPR’s krav. Personligt, så jeg gerne at regeringen havde allokeret endnu flere ressourcer til Datatilsynet.

Gør GDPR til din nye bedste ven

Se GDPR og Databeskyttelse som en sund øvelse i at få set indad i jeres organisation. Man kommer rigtigt lang blot ved at analysere datastrømme og lave compliance analyser.

Få kortlagt jeres politikker, retningslinjer, processer, procedurer, samt formelle og uformelle arbejdsgange, og få placeret det konkrete ejerskab og sikre en topforankring.

Husk at den største trussel ikke er den udefrakommende trussel eller Datatilsynet, men den trussel, der ligger latent internt i virksomhedens selv – medarbejderne, usunde rutiner, udokumenterede processer og dårlig adfærd.

 

Christian Bonde Wejergang
Informationssikkerhedschef, Contentor Aps

Underviser Erhvervsakademiet Lillebælt
Bestyrelsesmedlem IT-Branchen, Regionaludvalg Fyn
Betroet medlem N3CSKYT, Rigspolitiet