4-gdpr 4-gdpr

Tidl. CIO Peter Scheuer, ISS Facility Services A/S: “Der findes ikke en enkelt opskrift for GDPR, som dækker alle”

December 2017
Af Flemming Kjærsdam


”Der findes ikke en almengyldig opskrift på implementering af GDPR i en stor virksomhed. Virksomhederne er ikke ens.” Det siger tidligere CIO, Peter Scheuer, ISS Facility Services i Nordeuropa som deler sine erfaringer med at opfylde GDPR i en stor virksomhed med den nye databeskyttelsesforordning fra EU. Han var indlægsholder på det fælles inspirationsmøde som Danske IT-Advokater og itSMF Danmark holdt i november.

”Der findes ikke en almengyldig opskrift på implementering af GDPR i en stor virksomhed. Virksomhederne er ikke ens. Hvis du tager udgangspunkt i virksomheder, der arbejder i brancher, som i forvejen er reguleret af lovgivning – eksempelvis medicinalbranchen som Novo Nordisk, eller finanssektoren med banker og forsikringsselskaber, kan du sige, at de som organisationer er fortrolige med at arbejde med at dokumentere, at de opfylder lovgivningen. For den type virksomheder er GDPR et stykke ny lovgivning, som de kan bygge ind i eksisterende processer og metoder,” siger Peter Scheuer.

”For virksomheder, som ikke har samme modenhedsniveau som førnævnte, er det noget mere omfattende at implementere forretningsgange der sikrer, at virksomheden reflekterer lovgivningen. Og det er ikke kun et spørgsmål om at beskrive hvordan virksomheden bør operere, det er i høj grad et spørgsmål om at få implementeret de nye forretningsgange og ændre adfærden i organisationen, da det ligesom med it- sikkerhed oftest er personer, der udgør den største risiko,” siger Peter Scheuer.

I relation til dokumentationskravet er det essentielt, at virksomhederne definerer hvilke persondata, der findes i hvilke systemer, integrationer og arkiver. Og før dette arbejde påbegyndes, at virksomheden overvejer hvilke tiltag der kan igangsættes for at simplificere arkitekturen. Da jeg arbejdede i ISS, så igangsatte vi en del aktivtieter, der dels skulle reducere variationen af hvor vi havde data, dels nedbringe mængden af data.

”Vi gennemførte et totalt review af vores fil-server, med henblik på at identificere persondata og nedbringe volumen så meget som muligt, og flytte dokumenter til OneDrive. Vi gennemførte et review af alle Sharepoint (on-premise) sites, og slettede de sites der ikke var behov for, og flyttede den resterende sites til Sharepoint online, efter at der var ryttet op i data. Vi gennemførte også review af vores ERP storage politikker, og redifinerede disse, hvilket genererede årlige OPEX besparelser på omkring 750.000 dKK. Der er med andre ord god økonomi i at ryde op. Og før nævnte er kun de direkte besparelser, der er også en del indirekte besparelser i form af mindre tidsforbrug på governance aktiviteter, og mere effektiv leverance af projekter,” siger Peter Scheuer.

Den ny databeskyttelsesforordning træder i kraft den 25. maj 2018.

Anskaffe et system
Peter Scheuer startede i midten af 2016 med at evaluere de systemer, der var på markedet. Løsninger der dels kunne hjælpe med at implementere GDPR, dels hjælpe virksomheden med at sikre et overblik over gennemførelsen af alle relaterede aktiviteter. Og ikke kun et system, der ville gøre ISS compliant med lovgivningen her-og-nu. Men et system, der fortløbende kan dokumentere, hvad virksomheden gør og at den fortsat overholder lovgivningen.

Som eksempel på aktiviteter, nævner han, at virksomhederne skal kunne synliggøre, hvilke personer man har data om, og hvilke medarbejdere der har adgang til disse data og i hvilke systemer data befinder sig.

”Og jeg fandt ud af, at der ikke rigtig fandtes værktøjer på markedet, som levede op til ISS´ krav,” siger Peter Scheuer.

Blev iværksætter
Herefter tog Peter Scheuer selv fat og besluttede sig for at blive iværksætter. Et drøm han altid havde haft, men som hidtil ikke var udlevet. Han brugte juleferien på at bygge et high level solution design. I januar fik han investorerne ombord, og i Påskeferien var blueprint færdigt, hvorefter tre unge danske ingeniører – der alle er rigtig dygtige – kunne starte udviklingsprojektet.

Peter Scheuer toppede i ISS den 1.oktober 2017, og har siden arbejdet i den nye virksomhed, der ligesom løsningen hedder DPOware. Den første kunde kom på platformen i november, og der er nu otte fuldtidsressourcer tilknyttet.

Stringent løsningsarkitektur
Systemet er bygget over den initielle version af et ”High level solution design”. Den klare struktur i vertikaler,, der definerer hvad man skal gøre, og i horisontaler, der definerer de områder der behandles og som sikrer, at det er let at sætte sig ind i platformen, selvom den er blevet noget rigere på funktionalitet og logik end det oprindeligt blev beskrevet i blueprinted.

Løsningen er en cloudløsning, som kører i Amazons datacenter i Irland, og den er bygget efter de mest moderne udviklingsprincipper, hvilket gør, at den er let at videreudvikle og vedligeholde.

Hvordan implementeres platformen
Med henblik på at sikre et effektivt implementeringsforløb, så har DPOware udviklet en metode, der ved fem faser sikrer et struktureret forløb. Disse gennemføres via 8 workshops, der skridt for skridt hjælper virksomheden med at gennemgå de relevante områder, og med at føde data ind i systemet, så virksomheden fåer etableret en operating model der reflekterer GDPR - og måske også ISO27000 - siger Peter Scheuer
 

Fakta

De fem horisontale spor

Løsningen er delt op i fem spor eller workflows.

1. Det første spor er dokumenter, hvor driftsmodellen er defineret

2. Det andet spor er systemer. Det fokuserer på de steder, hvor data gemmes 

3. Spor tre omhandler kortlægning af personfølsomme data til hvert system

4. Det fjerde spor er Privacy by design

5. Det femte spor er workflows