Med dataforordningen på vej: Virksomheder tager ikke logning alvorligt nok

Mange virksomheder har ikke styr på, hvilke ansatte har set bestemt data. Det kan koste dyrt under den kommende dataforordning, advarer eksperter.

Effektiv logning af, hvilke ansatte der har set på hvilke data, har længe været en diskussion i det offentlige.

Men private virksomheder har også brug for logning, og med EU’s nye persondataforordning, der træder i kraft i 2018, kan straffen for datasjusk være kæmpebøder, understreger Alex Ayers, der er sikkerhedskonsulent og stifter af virksomheden Turnkey.

»Organisationer tager ikke det her så alvorligt, som de burde,« siger han. Ordene faldt ved dette års SAP Insider-konference, som blev afholdt for nylig i Wien.

»Selv når de har værktøjerne til rådighed gennem SAP eller en anden platform,« fortsætter Alex Ayers.

Læs også: 1000 industrifolk, forskere og embedsfolk: Vi skal have mere kontrol over forretningsbrug af vores data

Frank Hakkennes, der er konsulent i Deloitte, er enig:

»Forordningen stiller en del nye krav, som skal adresseres, hvis du har Business Intelligence - og alle selskaber har BI i form af HR-data, kundedata og så videre,« fastslår han.

Ret til at vide, hvem der har set på data

EU-forordningen giver ifølge Deloitte-konsulenten brugere rettighed til at få at vide, ikke bare hvilke data en virksomhed gemmer om brugeren, men også hvem der har set på disse data.

Læs også: Ny persondataforordning: Virksomheder har langt igen for at blive klar

»Det er et krav, der er svært at opfylde for mange selskaber,« konstaterer Frank Hakkennes.

Udfordringer opstår ofte, fordi virksomheder ikke er klare på formålet med dataindsamling - hvis kunden f.eks. får at vide, at data skal bruges til at forbedre brugsoplevelsen, men i virkeligheden også bliver brugt i salgsafdelingen. Andre problemer udspringer sig af den måde information deles i organisationen.

»Vi ser mange virksomheder, der deler personlig information - som et billede af et pas - via almindelige e-mails. Intentionen er muligvis fin, men det er ikke tilladt,« understreger Frank Hakkennes.

Læs også: Brud på nye datakrav kan koste virksomheder dyrt

Fuld compliance kræver fuld log

Samme billede tegnes af Alex Ayers, der som eksempel nævner en virksomhed, der skulle bruge et udtræk af HR-data

»Dem, der havde lavet udtrækket, havde bare skjult de sensitive kolonner med for eksempel bankoplysninger og lønningstal. Hvis man vidste hvordan, kunne man sagtens se den information, og det var på et delt drev, som 50.000 mennesker havde adgang til,« fortæller han.

Ved at styre, hvilke informationer enkelte brugere har adgang til, kan virksomhederne komme et stykke af vejen. Men der kan være legitime grunde til, at en bruger har adgang til sensitive data, understreger Alex Ayers.

Læs også: EU klar med historisk persondatalov: Bøder til virksomheder på op til 4 pct. af omsætningen

For at sikre information til at undersøge datalæk og til at opfylde kravene i EU-forordningen, skal virksomheder føre log over, hvornår en medarbejder har set på data, fastslår Frank Hakkennes

»For at være fuldt ud compliant, skal der være en fuld log,« fortæller han.

Ofte er den fulde log ikke en reel mulighed, medgiver konsulenten. Efter kort tid vil logning fylde ekstreme mængder lagerplads og hæmme performance.

Læs også: EU-regler vil kræve masser af nye cookie-klik

»Du skal indsamle så lidt information som muligt,« siger Frank Hakkennes.

Falske positive

Det kan for eksempel ske ved at lave kriterier for, hvornår en log skal gemmes - når en HR-ansat ser på data for en topleder, eller når en salgsmedarbejder ser på data fra en kunde, der ikke er tilknyttet medarbejderen.

Med sådan en form for log vil man stadig kunne anskueligøre, at man er compliant, vurderer Frank Hakkennes.

»Jura er ikke sort eller hvid,« understreger han og fortsætter:

»Hvis din virksomhed bliver spurgt, hvem der har set på en given data, men ikke kan se hvem ud af fem personer, der har adgang, kan du give navnene på alle fem,« forklarer Frank Hakkennes og tilføjer:

»Så længe du giver falske positive i stedet for falske negative.«

Version2 var inviteret til it-konferencen SAP Insider af SAP

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mogens Olsen

"For at sikre information til at undersøge datalæk og til at opfylde kravene i EU-forordningen, skal virksomheder føre log over, hvornår en medarbejder har set på data, fastslår Frank Hakkennes".

Er der én der kan opklare, om den påstand holder vand? Jeg kan ikke finde noget krav om dokumentation for hvem har set på hvilke data hvornår. Kun at man skal kunne oplyse, hvem der har modtaget data, og her er 'HR-medarbejdere' - som jeg læser det - tilstrækkeligt detaljeret.

Gert Madsen

"Du skal indsamle så lidt information som muligt"
Det vil være glædeligt, hvis man kan opnå det.

Det er sådan set også det, som står i den gamle datalov, om personlige oplysninger.

Datatilsynet har forsøgt, men har manglet såvel magt, som ressourcer til at håndhæve den.
Ingen andre myndigheder har så meget som forsøgt.

Lad os håbe at dette ændres markant.

Bent Jensen

Når de første børder på 4% af omsætning kommer.
Så bliver der hutigt fra bestyrelsen og Ledelsen givet resur som de før har ment til IT, som de før har ment var spild af penge, og burde gå til betaling af udbytte, eller højere løninger til samme(ledelse).

Log ind eller Opret konto for at kommentere