Hos det danske softwarefirma Acubiz har man investeret i nye printere for at strømline sikkerheden omkring personlig data. De nye printere kan man nemlig sætte kode på, forklarer CEO og medstifter Lars de Nully.
»Så er der ikke andre, der kan se, hvad jeg printer. Og så ligger der ikke en medarbejderfil eller lignende, når du kommer ud til printeren,« siger han.
Acubiz, der leverer software til styring af udgifter, har gennemtrawlet selskabets interne processer for at sikre, at medarbejdernes håndtering af data er i orden. Samt at de lever op til kravene i GDPR, når forordningen træder i kraft den 25. maj.
»Vi fortæller for eksempel medarbejdere, at de ikke må forlade deres computere uden at låse dem eller efterlade dokumenter på skrivebordet med personoplysninger.« forklarer Lars de Nully og fortsætter:
»Det er helt ned til det niveau, at når en medarbejder stopper, kan vi dokumentere, at personen bliver frakoblet alle systemer, som han eller hun havde adgang til. Eller når en kollega skal have adgang til informationer, han ikke normalt har adgang til, så ligger der en skriftlig godkendelse. Normalt ville du måske bare skrive en mail, hvor du spørger, om du kan få adgang til dit og dat. Nu er det nødvendigt, at det bliver noteret i den korrekte log, at Poul har givet John adgang til denne data.«
Version2 tæller ned til den 25. maj, hvor Databeskyttelsesforordningen træder i kraft med skærpede samtykkeregler, nye brugerrettigheder og ikke mindst massive bøder for datasjusk til både myndigheder og virksomheder. Læs med om hovedpiner, værktøjer og strategier, som forskellige virksomheder har brugt for at blive klar til regelsættet. Følg hele Version2's dækning af forordningen her. Den danske softwarevirksomhed Acubiz A/S leverer software til Expense Management i 33 lande. Blandt Acubiz’ kunder er ISS, Pandora, Nykredit, Kammeradvokaten og KL.
Forordningen kommer
Acubiz
Det er simple processer, bemærker Lars de Nully. Men man skal huske at gøre det.
»Og når man har gjort det, skal man gentage det, teste og optimere. Det er du nødt til. Det er et kæmpe arbejde, man sætter i gang. Men det er også et arbejde, hvor du skærper processen, du skærper din virksomhed, og det er godt,« siger han.
Droppede underleverandør
Sammen med resten af Acubiz sad Lars de Nully i 2016, da Persondataforordningen blev vedtaget, og besluttede sig for at komme i gang med det nødvendige arbejde med det samme.
»Vi så en mulighed for at gøre det til en konkurrencefordel. Det er ikke nogen hemmelighed,« siger de Nully.
Acubiz måtte først og fremmest have styr på selskabets driftsmiljø og underleverandører.
På det tidspunkt samarbejdede Acubiz med to hostingpartnere, dels Nianet, dels et mindre hostingfirma. Acubiz undersøgte, hvordan underleverandørerne havde beskrevet deres processer, og hvorvidt de f.eks. havde en ISAE 3402-erklæring, som er en international revisionsstandard, der stiller krav til datasikkerhed.
»Vi fandt hurtigt ud af, at den lille hostingpartner ville få rigtig svært ved at understøtte de kommende datasikkerhedskrav,« fortæller Lars de Nully og fortsætter:
»Vi besluttede i 2016 at flytte alle vores servere til Nianet i Skanderborg. Det var også helt i tråd med krav fra vores offentlige kunder, herunder flere kommuner, at deres data hostes i Danmark.«
Efterfølgende gik Acubiz i gang med selv at forsøge at få en ISAE 3402-erklæring. Det lykkedes i 2016 at få en ISAE 3402 type 1-erklæring og i efteråret 2017 at opgradere til en ISAE 3402 type 2-erklæring.
Svære databehandleraftaler
Sideløbende med det interne arbejde satte Acubiz i 2016 gang i at udarbejde en databehandleraftale til kunderne.
»I 2016 havde man jo ikke helt styr på, hvad Persondataforordningen ville indeholde i detaljer,« indleder Lars de Nully.
»Derfor har vi haft en løbende dialog med vores advokatfirma Horten om, hvordan vi kunne skrue en databehandleraftale sammen, uden at vores kunder havde 27 forbehold til den. Og det er en udfordring.«
Hver enkelt virksomhed går nemlig direkte til deres egne advokater og får udviklet deres bud på en databehandleraftale. Her skriver de ting ind, som lovgivningen ikke specificere – det kan fx være hvem der står med regningen, hvis kunden vil ud og inspicere os, lyder det fra Lars de Nully.
»Specielt når man kommer til meget store selskaber, så kommer de med deres egne erklæringer, og siger ‘vi vil bare gerne have, I skriver under her på vores kontrakt’,« forklarer han.
Milliardrisiko
En af de første databehandleraftaler Acubiz fik på plads, var med en af Danmarks største virksomheder. Selskabets advokater satte sige sammen med Acubiz’ advokater. Først på det tidspunkt, der lå et dokument, blandede Lars de Nully sig ind i det.
»I den første version stod der, at vi skulle holde virksomheden skadefri. Det er altså en virksomhed med en milliardomsætning, og den risiko vi skulle løbe kunne aldrig stå mål med den omsætning, de havde hos os. Forestil dig at tage en risiko på en milliard, for at tjene 50.000 kr. Det forhold er nødt til at hænge sammen, og det har vi fået skrevet ind i de fleste af vores databehandleraftaler,« fortæller Lars de Nully og fortsætter:
»En anden ting, vi bliver bedt om at skrive ind, er, at kunden bliver informeret i samme sekund, der er et sikkerhedsbrud. Men hvis vi skal kunne fortælle kunden, hvad der er sket, så er der nødt til at være et minimum af tid til at undersøge sagen. Det skal selvfølgelig være hurtigt, men der er ikke nogen der er tjent med, at vi skal kontakte kunden, inden vi selv kan svare på spørgsmålet ‘hvad er der sket’.«
Hvis du var et chokoladefirma...
Hvordan har den afstemning været mellem jer og kunderne?
»Den er svær. Virksomhederne bliver jo rådgivet af de advokater, som de er vant til at blive rådgivet af. Vi prøver at forklare, at hvis du er et chokoladefirma, og der kommer en chokoladeafgift, så ville det blive tillagt prisen. Eller hvis du er et luftfartsselskab, så ville du tillægge det prisen, hvis brændstoffet blev dyrere. Er det så ikke rimeligt, at vi i virkeligheden gør det samme? Og det plejer kunderne at have forståelse for,« siger de Nully
Har arbejdet med databehandleraftaler været drevet af jer eller jeres kunder?
»Vi har været den opsøgende part. Vi fortalte vores kunder, at vi ville komme med et udkast til en databehandleraftale inden udgangen af 2017. Det er der mange, der er glade for i dag, fordi de ikke selv er kommet dertil,« siger Lars de Nully og slutter:
»Der er stadig nogle virksomheder, hvor det kommer som en overraskelse, at det er den 25. maj, Persondataforordningen træder i kraft.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
