Dansk it-hus gør klar til GDPR: Koder på printere og ingen ulåste computere

Illustration: Good-Stock/Bigstock
Du skal optimere dine interne dataprocesser. Og så skal du gøre det igen og igen, lyder anbefalingen fra Acubiz.

Hos det danske softwarefirma Acubiz har man investeret i nye printere for at strømline sikkerheden omkring personlig data. De nye printere kan man nemlig sætte kode på, forklarer CEO og medstifter Lars de Nully.

»Så er der ikke andre, der kan se, hvad jeg printer. Og så ligger der ikke en medarbejderfil eller lignende, når du kommer ud til printeren,« siger han.

Acubiz, der leverer software til styring af udgifter, har gennemtrawlet selskabets interne processer for at sikre, at medarbejdernes håndtering af data er i orden. Samt at de lever op til kravene i GDPR, når forordningen træder i kraft den 25. maj.

»Vi fortæller for eksempel medarbejdere, at de ikke må forlade deres computere uden at låse dem eller efterlade dokumenter på skrivebordet med personoplysninger.« forklarer Lars de Nully og fortsætter:

»Det er helt ned til det niveau, at når en medarbejder stopper, kan vi dokumentere, at personen bliver frakoblet alle systemer, som han eller hun havde adgang til. Eller når en kollega skal have adgang til informationer, han ikke normalt har adgang til, så ligger der en skriftlig godkendelse. Normalt ville du måske bare skrive en mail, hvor du spørger, om du kan få adgang til dit og dat. Nu er det nødvendigt, at det bliver noteret i den korrekte log, at Poul har givet John adgang til denne data.«

Det er simple processer, bemærker Lars de Nully. Men man skal huske at gøre det.

»Og når man har gjort det, skal man gentage det, teste og optimere. Det er du nødt til. Det er et kæmpe arbejde, man sætter i gang. Men det er også et arbejde, hvor du skærper processen, du skærper din virksomhed, og det er godt,« siger han.

Droppede underleverandør

Sammen med resten af Acubiz sad Lars de Nully i 2016, da Persondataforordningen blev vedtaget, og besluttede sig for at komme i gang med det nødvendige arbejde med det samme.

»Vi så en mulighed for at gøre det til en konkurrencefordel. Det er ikke nogen hemmelighed,« siger de Nully.

Acubiz måtte først og fremmest have styr på selskabets driftsmiljø og underleverandører.

På det tidspunkt samarbejdede Acubiz med to hostingpartnere, dels Nianet, dels et mindre hostingfirma. Acubiz undersøgte, hvordan underleverandørerne havde beskrevet deres processer, og hvorvidt de f.eks. havde en ISAE 3402-erklæring, som er en international revisionsstandard, der stiller krav til datasikkerhed.

»Vi fandt hurtigt ud af, at den lille hostingpartner ville få rigtig svært ved at understøtte de kommende datasikkerhedskrav,« fortæller Lars de Nully og fortsætter:

»Vi besluttede i 2016 at flytte alle vores servere til Nianet i Skanderborg. Det var også helt i tråd med krav fra vores offentlige kunder, herunder flere kommuner, at deres data hostes i Danmark.«

Efterfølgende gik Acubiz i gang med selv at forsøge at få en ISAE 3402-erklæring. Det lykkedes i 2016 at få en ISAE 3402 type 1-erklæring og i efteråret 2017 at opgradere til en ISAE 3402 type 2-erklæring.

Svære databehandleraftaler

Sideløbende med det interne arbejde satte Acubiz i 2016 gang i at udarbejde en databehandleraftale til kunderne.

»I 2016 havde man jo ikke helt styr på, hvad Persondataforordningen ville indeholde i detaljer,« indleder Lars de Nully.

»Derfor har vi haft en løbende dialog med vores advokatfirma Horten om, hvordan vi kunne skrue en databehandleraftale sammen, uden at vores kunder havde 27 forbehold til den. Og det er en udfordring.«

Hver enkelt virksomhed går nemlig direkte til deres egne advokater og får udviklet deres bud på en databehandleraftale. Her skriver de ting ind, som lovgivningen ikke specificere – det kan fx være hvem der står med regningen, hvis kunden vil ud og inspicere os, lyder det fra Lars de Nully.

»Specielt når man kommer til meget store selskaber, så kommer de med deres egne erklæringer, og siger ‘vi vil bare gerne have, I skriver under her på vores kontrakt’,« forklarer han.

Milliardrisiko

En af de første databehandleraftaler Acubiz fik på plads, var med en af Danmarks største virksomheder. Selskabets advokater satte sige sammen med Acubiz’ advokater. Først på det tidspunkt, der lå et dokument, blandede Lars de Nully sig ind i det.

»I den første version stod der, at vi skulle holde virksomheden skadefri. Det er altså en virksomhed med en milliardomsætning, og den risiko vi skulle løbe kunne aldrig stå mål med den omsætning, de havde hos os. Forestil dig at tage en risiko på en milliard, for at tjene 50.000 kr. Det forhold er nødt til at hænge sammen, og det har vi fået skrevet ind i de fleste af vores databehandleraftaler,« fortæller Lars de Nully og fortsætter:

Læs også: Virksomheder vil helgardere sig med databehandleraftaler: »Vanvittige forslag«

»En anden ting, vi bliver bedt om at skrive ind, er, at kunden bliver informeret i samme sekund, der er et sikkerhedsbrud. Men hvis vi skal kunne fortælle kunden, hvad der er sket, så er der nødt til at være et minimum af tid til at undersøge sagen. Det skal selvfølgelig være hurtigt, men der er ikke nogen der er tjent med, at vi skal kontakte kunden, inden vi selv kan svare på spørgsmålet ‘hvad er der sket’.«

Hvis du var et chokoladefirma...

Hvordan har den afstemning været mellem jer og kunderne?

»Den er svær. Virksomhederne bliver jo rådgivet af de advokater, som de er vant til at blive rådgivet af. Vi prøver at forklare, at hvis du er et chokoladefirma, og der kommer en chokoladeafgift, så ville det blive tillagt prisen. Eller hvis du er et luftfartsselskab, så ville du tillægge det prisen, hvis brændstoffet blev dyrere. Er det så ikke rimeligt, at vi i virkeligheden gør det samme? Og det plejer kunderne at have forståelse for,« siger de Nully

Læs også: GDPR gør det sværere at outsource it-opgaver uden for EU

Har arbejdet med databehandleraftaler været drevet af jer eller jeres kunder?

»Vi har været den opsøgende part. Vi fortalte vores kunder, at vi ville komme med et udkast til en databehandleraftale inden udgangen af 2017. Det er der mange, der er glade for i dag, fordi de ikke selv er kommet dertil,« siger Lars de Nully og slutter:

»Der er stadig nogle virksomheder, hvor det kommer som en overraskelse, at det er den 25. maj, Persondataforordningen træder i kraft.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Dave Pencroof

At der skal regler til for at de tager sig sammen til det der ALTID skulle have været topprioritet, det viser bare at så længe det ikke direkte er egne data = penge, så halter det helt vildt. Dog godt at der nu bliver rettet minimalt på de umiddelbart SYNLIGE områder, det vil sikkert ikke tage mange uger før nye bristerne igen viser sig mangfoldigt, alene fordi alt skal være nemt og hurtigt hellere end sikkert, men sådan vil det være så længe flertallet har laveste pris som højeste prioritet, den kultur ændres ikke af dette EU show !

Sikken en dag det ser ud til idag, godt for planterne !

Hyg jer !

Jens Jönsson

»Vi fandt hurtigt ud af, at den lille hostingpartner ville få rigtig svært ved at understøtte de kommende datasikkerhedskrav,« fortæller Lars de Nully og fortsætter:

»Vi besluttede i 2016 at flytte alle vores servere til Nianet i Skanderborg. Det var også helt i tråd med krav fra vores offentlige kunder, herunder flere kommuner, at deres data hostes i Danmark.«

Det er så ulempen. De små bliver dræbt og konkurrencen forsvinder....

Per Gøtterup

Da jeg arbejdede hos hos den største danske formidler af online betalingsløsninger kostede det en skriftlig advarsel hvis sikkerhedsreglerne blev brudt, hvilket inkluderede både kreditkortnumre på gule lapper og ulåste skærme. De havde 'mystery shoppers' forklædt som elektrikere, kølefolk eller andre typer besøgende som gik rundt og checkede. Hårdt, men nødvendigt hvis man skal kunne stole på dem.

Log ind eller Opret konto for at kommentere