Dansk it-hus gør klar til GDPR: Koder på printere og ingen ulåste computere

24. april 2018 kl. 05:097
Dansk it-hus gør klar til GDPR: Koder på printere og ingen ulåste computere
Illustration: Good-Stock/Bigstock.
Du skal optimere dine interne dataprocesser. Og så skal du gøre det igen og igen, lyder anbefalingen fra Acubiz.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Hos det danske softwarefirma Acubiz har man investeret i nye printere for at strømline sikkerheden omkring personlig data. De nye printere kan man nemlig sætte kode på, forklarer CEO og medstifter Lars de Nully.

»Så er der ikke andre, der kan se, hvad jeg printer. Og så ligger der ikke en medarbejderfil eller lignende, når du kommer ud til printeren,« siger han.

Acubiz, der leverer software til styring af udgifter, har gennemtrawlet selskabets interne processer for at sikre, at medarbejdernes håndtering af data er i orden. Samt at de lever op til kravene i GDPR, når forordningen træder i kraft den 25. maj.

»Vi fortæller for eksempel medarbejdere, at de ikke må forlade deres computere uden at låse dem eller efterlade dokumenter på skrivebordet med personoplysninger.« forklarer Lars de Nully og fortsætter:

Artiklen fortsætter efter annoncen

»Det er helt ned til det niveau, at når en medarbejder stopper, kan vi dokumentere, at personen bliver frakoblet alle systemer, som han eller hun havde adgang til. Eller når en kollega skal have adgang til informationer, han ikke normalt har adgang til, så ligger der en skriftlig godkendelse. Normalt ville du måske bare skrive en mail, hvor du spørger, om du kan få adgang til dit og dat. Nu er det nødvendigt, at det bliver noteret i den korrekte log, at Poul har givet John adgang til denne data.«

CEO og grundlægger af Acubiz, Lars de Nully.

Forordningen kommer

Version2 tæller ned til den 25. maj, hvor Databeskyttelsesforordningen træder i kraft med skærpede samtykkeregler, nye brugerrettigheder og ikke mindst massive bøder for datasjusk til både myndigheder og virksomheder. Læs med om hovedpiner, værktøjer og strategier, som forskellige virksomheder har brugt for at blive klar til regelsættet.

Følg hele Version2's dækning af forordningen her.

Acubiz

Den danske softwarevirksomhed Acubiz A/S leverer software til Expense Management i 33 lande. Blandt Acubiz’ kunder er ISS, Pandora, Nykredit, Kammeradvokaten og KL.

Det er simple processer, bemærker Lars de Nully. Men man skal huske at gøre det.

»Og når man har gjort det, skal man gentage det, teste og optimere. Det er du nødt til. Det er et kæmpe arbejde, man sætter i gang. Men det er også et arbejde, hvor du skærper processen, du skærper din virksomhed, og det er godt,« siger han.

Droppede underleverandør

Sammen med resten af Acubiz sad Lars de Nully i 2016, da Persondataforordningen blev vedtaget, og besluttede sig for at komme i gang med det nødvendige arbejde med det samme.

»Vi så en mulighed for at gøre det til en konkurrencefordel. Det er ikke nogen hemmelighed,« siger de Nully.

Acubiz måtte først og fremmest have styr på selskabets driftsmiljø og underleverandører.

På det tidspunkt samarbejdede Acubiz med to hostingpartnere, dels Nianet, dels et mindre hostingfirma. Acubiz undersøgte, hvordan underleverandørerne havde beskrevet deres processer, og hvorvidt de f.eks. havde en ISAE 3402-erklæring, som er en international revisionsstandard, der stiller krav til datasikkerhed.

»Vi fandt hurtigt ud af, at den lille hostingpartner ville få rigtig svært ved at understøtte de kommende datasikkerhedskrav,« fortæller Lars de Nully og fortsætter:

»Vi besluttede i 2016 at flytte alle vores servere til Nianet i Skanderborg. Det var også helt i tråd med krav fra vores offentlige kunder, herunder flere kommuner, at deres data hostes i Danmark.«

Efterfølgende gik Acubiz i gang med selv at forsøge at få en ISAE 3402-erklæring. Det lykkedes i 2016 at få en ISAE 3402 type 1-erklæring og i efteråret 2017 at opgradere til en ISAE 3402 type 2-erklæring.

Svære databehandleraftaler

Sideløbende med det interne arbejde satte Acubiz i 2016 gang i at udarbejde en databehandleraftale til kunderne.

»I 2016 havde man jo ikke helt styr på, hvad Persondataforordningen ville indeholde i detaljer,« indleder Lars de Nully.

»Derfor har vi haft en løbende dialog med vores advokatfirma Horten om, hvordan vi kunne skrue en databehandleraftale sammen, uden at vores kunder havde 27 forbehold til den. Og det er en udfordring.«

Hver enkelt virksomhed går nemlig direkte til deres egne advokater og får udviklet deres bud på en databehandleraftale. Her skriver de ting ind, som lovgivningen ikke specificere – det kan fx være hvem der står med regningen, hvis kunden vil ud og inspicere os, lyder det fra Lars de Nully.

»Specielt når man kommer til meget store selskaber, så kommer de med deres egne erklæringer, og siger ‘vi vil bare gerne have, I skriver under her på vores kontrakt’,« forklarer han.

Milliardrisiko

En af de første databehandleraftaler Acubiz fik på plads, var med en af Danmarks største virksomheder. Selskabets advokater satte sige sammen med Acubiz’ advokater. Først på det tidspunkt, der lå et dokument, blandede Lars de Nully sig ind i det.

»I den første version stod der, at vi skulle holde virksomheden skadefri. Det er altså en virksomhed med en milliardomsætning, og den risiko vi skulle løbe kunne aldrig stå mål med den omsætning, de havde hos os. Forestil dig at tage en risiko på en milliard, for at tjene 50.000 kr. Det forhold er nødt til at hænge sammen, og det har vi fået skrevet ind i de fleste af vores databehandleraftaler,« fortæller Lars de Nully og fortsætter:

»En anden ting, vi bliver bedt om at skrive ind, er, at kunden bliver informeret i samme sekund, der er et sikkerhedsbrud. Men hvis vi skal kunne fortælle kunden, hvad der er sket, så er der nødt til at være et minimum af tid til at undersøge sagen. Det skal selvfølgelig være hurtigt, men der er ikke nogen der er tjent med, at vi skal kontakte kunden, inden vi selv kan svare på spørgsmålet ‘hvad er der sket’.«

Hvis du var et chokoladefirma...

Hvordan har den afstemning været mellem jer og kunderne?

»Den er svær. Virksomhederne bliver jo rådgivet af de advokater, som de er vant til at blive rådgivet af. Vi prøver at forklare, at hvis du er et chokoladefirma, og der kommer en chokoladeafgift, så ville det blive tillagt prisen. Eller hvis du er et luftfartsselskab, så ville du tillægge det prisen, hvis brændstoffet blev dyrere. Er det så ikke rimeligt, at vi i virkeligheden gør det samme? Og det plejer kunderne at have forståelse for,« siger de Nully

Har arbejdet med databehandleraftaler været drevet af jer eller jeres kunder?

»Vi har været den opsøgende part. Vi fortalte vores kunder, at vi ville komme med et udkast til en databehandleraftale inden udgangen af 2017. Det er der mange, der er glade for i dag, fordi de ikke selv er kommet dertil,« siger Lars de Nully og slutter:

»Der er stadig nogle virksomheder, hvor det kommer som en overraskelse, at det er den 25. maj, Persondataforordningen træder i kraft.«

7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
30. april 2018 kl. 13:43

Da jeg arbejdede hos hos den største danske formidler af online betalingsløsninger kostede det en skriftlig advarsel hvis sikkerhedsreglerne blev brudt, hvilket inkluderede både kreditkortnumre på gule lapper og ulåste skærme. De havde 'mystery shoppers' forklædt som elektrikere, kølefolk eller andre typer besøgende som gik rundt og checkede. Hårdt, men nødvendigt hvis man skal kunne stole på dem.

6
24. april 2018 kl. 23:17

Kagemails som minimum! Jeg har dog set folk bliver eskorteret ud af bygningen for sådanne forglemmelser ved større udenlandsk IT-biks. Vi er i Danmark generelt bagud og ligegyldige i forhold til IT-sikkerhed på arbejdspladsen, IMO.

5
24. april 2018 kl. 22:00

»Vi fandt hurtigt ud af, at den lille hostingpartner ville få rigtig svært ved at understøtte de kommende datasikkerhedskrav,« fortæller Lars de Nully og fortsætter:</p>
<p>»Vi besluttede i 2016 at flytte alle vores servere til Nianet i Skanderborg. Det var også helt i tråd med krav fra vores offentlige kunder, herunder flere kommuner, at deres data hostes i Danmark.«

Det er så ulempen. De små bliver dræbt og konkurrencen forsvinder....

4
24. april 2018 kl. 19:31

Det studsede jeg også over. Det er de færreste steder jeg har set, hvor det ikke er en selvfølge.

Og som bonus må der selvfølgelig sendes kagemails fra ulåste computere :-)

3
24. april 2018 kl. 19:09

Uhyggeligt at der skal en EU forordning til før et IT-hus (!) beder sine medbejdere om at låse deres PC! Det er forhåbenligt en selvfølge i de fleste danske IT-virksomheder og har været det i årevis?

2
24. april 2018 kl. 10:12

Men den giver ikke nødvendigvis mening for alle, da dens reference ramme er finansielle systemer. Så hvis det ikke handler om finansielle systemer, så skal man kraftigt overveje at få en isae 3000 evt udformet som en isae 3402.

1
24. april 2018 kl. 09:13

At der skal regler til for at de tager sig sammen til det der ALTID skulle have været topprioritet, det viser bare at så længe det ikke direkte er egne data = penge, så halter det helt vildt. Dog godt at der nu bliver rettet minimalt på de umiddelbart SYNLIGE områder, det vil sikkert ikke tage mange uger før nye bristerne igen viser sig mangfoldigt, alene fordi alt skal være nemt og hurtigt hellere end sikkert, men sådan vil det være så længe flertallet har laveste pris som højeste prioritet, den kultur ændres ikke af dette EU show !

Sikken en dag det ser ud til idag, godt for planterne !

Hyg jer !