Københavns Lufthavne flyvende på GDPR-rejsen

”Vi vækster, mens vi drifter”. Sådan startede Legal Counsel, Andreas Lysgaard, Københavns Lufthavne inspirationsmødet om Lufthavnens GDPR-rejse, som må siges at være ”flyvende”. Københavns Lufthavne startede sin GDPR-rejse i 2016, og Andreas Lysgaard fortalte i sit oplæg, at lufthavnen vil foretage en sikker landing med alle forretningsprocesser og juridiske vurderinger den 25. maj. 2018, hvor EU´s Persondataforordning officielt træder i kraft.

itSMF Danmark og Københavns Lufthavne inviterede i fællesskab til et inspirationsmøde om GDPR-implementeringen. Københavns Lufthavne begyndte sin GDPR-rejse tilbage i 2016. Den tog sit udgangspunkt i identificering og juridiske vurderinger af de godt 200 forretningsprocesser, som registrerer personfølsomme data om lufthavnens ansatte og kunder. Oplysninger om ansatte er eksempelvis CPR-numre, løn og bankforbindelse. Dertil kommer data om ”Advantage kunder”, som er kunder i lufthavnens P-huse, butikker og restauranter.

EU´s Persondataforordning træder i kraft den 25. maj 2018. Her skal alle organisationer være ”compliant” med den nye lovgivning, som tager sigte på at beskytte os som individer mod virksomheders overdrevne registrering. Som privat virksomhed risikerer man at få bøder på op til 150 mio. kr. for grove overtrædelser af lovgivningen.

”Der var ikke nogen af de samarbejdspartnere, som lufthavnen bruger, der kunne levere et værktøj, der passede til vores implementering af GDPR. Her stødte vi hovedet mod en mur. Når vi kigger ind i GDPR-implementeringen berører vi mange andre ting. Dertil kommer, at de forretningsprocesser, der behandler persondata, havde lufthavnen ikke tidligere registreret. Så vi startede GDPR-rejsen med at skabe os et overblik,” siger Andreas Lysgaard.

Ekstern konsulent Niels Dam refererede til mødeinvitationen, at ”det vil være besnærende at kunne vise sammenhængen mellem it-systemer, risikovurderinger og de involverede forretningsprocesser til forretningens procesejere. Så vil vi kunne sikre os, at de mest kritiske data også får den rette bevågenhed hos ledelsen.”

”Det handler om at få sit CMDB koblet sammen med sine forretningsprocesser. Med Persondataforordningen er det blevet et krav, at vi skal kunne dokumentere, hvad vi gør. Derfor har det været nemmere at få projektet finansieret med denne sammenkobling mellem CMDB og forretningsprocesser, da EU´s Persondataforordning kræver, at vi er compliant,” siger Niels Dam.

Risikoanalyse
For at få skabt det nødvendige overblik over processer og it-systemer var første del at foretage en risikoanalyse. Flere af forretningsprocesserne var slet ikke registrerede fra starten, så alt skulle indsamles fra start. Procesrollerne var heller ikke definerede, også her begyndte det fra scratch. Københavns Lufthavne lagde som nævnt ud med at identificere og juridisk vurdere de godt 200 forretningsprocesser. Organisationerne skal kunne vise, hvorfor de samler data ind og hvem der har adgang til dem, og hvornår de slettes igen, da virksomheder ikke må gemme personfølsomme data, som ikke er nødvendige for virksomhedens drift.

Københavns Lufthavne endte med at udpege 13 dataejere i ligeså mange afdelinger, og som har overordnet ansvar og refererer til direktionen. Procesansvarlige, som har operationelt ansvar for den enkelte proces, refererer til dataejeren. Ansvaret for begge roller er skrevet ind i HR-systemet.

Niels Dam fortæller, at der fortsat er gaps mellem processerne og den compliance, der skal opfyldes den 25. maj 2018, men at der arbejdes hårdt for at få lukket hullerne.

Det er BusinessNow, der har tilpasset ServiceNow modulet ”Governance Risc and Compliance” i Københavns Lufthavne.

25 deltog på mødet.