Hverken offentlige eller private sagssystemer er gearet til krav i ny persondataforordning

Stort hul mellem kundernes forventninger og hvad ESDH-systemer understøtter, vurderer konsulenthus.

En lang række kommuner og virksomheder har ESDH-systemer, der ikke understøtter flere af de centrale krav i EU's nye persondataforordning, GDPR.

Det viser en undersøgelse, som er gennemført af Devoteam.

Konsulenthuset har spurgt danske ESDH-kunder om, hvad deres ESDH-system kan og ikke kan, når det gælder om at overholde kravene i GDPR, der træder i kraft til maj næste år.

GDPR kræver f.eks., at virksomheder skal kunne slette data om en kunde, hvis de bliver bedt om det. Det er dog blot 53 procent af respondenterne i Devoteams undersøgelse, der som minimum ‘i nogen grad’ har mulighed for at slette individuel data.

Også myndigheder skal slette data, hvis man beder om det - medmindre der er en legitim grund til at beholde data. Det betyder f.eks., at Skat kan beholde oplysninger om dig for altid.

Læs også: Ond ESDH-spiral præger for mange offentlige organisationer

Med hensyn til logning af, hvad persondata i systemet anvendes til, vurderer 49 procent i Devoteams undersøgelse, at ESDH-systemet giver udfordringer.

»Kunderne har ofte svært ved at anvende loggen, og ofte er den ikke direkte tilgængelig for kunderne. Det må siges at være ret kritisk, når det handler om parathed til persondataforordningen,« skriver Devoteam i rapporten.

»Det bliver et område, som leverandørerne skal tage fat på, så de og deres kunder ikke kommer i problemer, når forordningen træder i kraft.«

Danskere samler til huse som egern

Kilde: Devoteam

Et andet krav, som GDPR introducerer, er, at virksomheder skal slette data, når der ikke længere er behov for dem. Den opgave bliver ifølge Devoteam-konsulent Frederik Helweg-Larsen en udfordring for mange.

»Det er ikke noget, vi i Danmark har tradition for. Vi er som egern, der samler nødder – man ved aldrig, hvornår man får brug for det. Nu er det et krav fra forordningen, at du skal slette data med vilje,« forklarede han på Devoteams ESDH-konference, der fandt sted i går i København.

Sletteopgaven er man nødt til at automatisere, understregede konsulenten:

»Det er muligt, at det kan gøres manuelt, men det bliver en ubærlig opgave.«

Læs også: Offentlige tidslommer: ESDH-modstand får papir, kuglepenne og dokumentomslag til at overleve

Også her har ESDH-systemerne mangler. Blot 16 procent svarer, at systemet understøtter automatisk sletning af data, mens omkring halvdelen enten ikke klar over svaret eller nægter at svare.

Devoteam vurderer i rapporten, at »kunderne ikke hidtil har haft behovet for at kunne slette automatisk og derfor aldrig har stillet krav til deres leverandører om, at deres ESDH-systemer skal kunne dette«.

Endelig rapporterer under en tredjedel af respondenterne, at ESDH-systemet giver rapporteringsmuligheder i relation til registrerede persondata. Også her bør leverandører videreudvikle deres systemer, vurderer Devoteam.

Kommer ikke i hus

ESDH-leverandører har over en kam stor fokus på GDPR, og hvad det kræver af den software, som de leverer. Men der er samtidig et stort spænd mellem, hvor langt de enkelte leverandører er i arbejdet, fremgår det af Devoteams rapport. Derudover er forventer kunderne generelt, at leverandørerne klarer ærterne.

»Vi har en forventning om, at alle leverandører leverer det, som er et krav,« bemærker en respondent i undersøgelsen.

Læs også: Hver anden virksomhed kender ikke til persondataforordningen: »De har travlt«

Tilsammen betyder det, at flere offentlige kunder ikke kommer i hus inden deadline næste år:

»Sammenholder man de offentlige kunders høje bevidsthed om persondataforordningen og deres forventning til, hvad deres leverandører leverer til dem, samt Devoteams vurdering af ESDH-leverandørerne på området, så er der et forholdsvis stort ’hul’,« skriver Devoteam i rapporten.

»Det må derfor forventes, at ikke alle offentlige kunder er klar, når vi rammer maj måned 2018.«

Løfte i flok

En ikke udtømmelig liste over krav, som Devoteam anbefaler kunder at stille til deres ESDH-leverandør.

Det er ikke en god GDPR-strategi at smide ansvaret over på leverandøren. I stedet bør kunder gå i dialog med deres leverandører, mener Frederik Helweg-Larsen.

»Lad være med at gøre det til en konflikt, hvor I bare stiller en masse krav. Det her er en udfordring, hvor man skal løfte i flok,« forklarer han.

»Kunder skal ikke sige: ‘Det skal efterleve GDPR’, for det er der ikke mange, der ved, hvad betyder,« understreger konsulenten.

Læs også: Simpel tjekliste skal takle GDPR-hovedpine uden kæmpe konsulentregning

I stedet skal man stille præcise krav til, hvad systemet skal kunne i forhold til sletteregler, kryptering, osv.

Generelt rapporterer langt størstedelen af respondenterne, at de er godt på vej med at implementere GDPR. De fleste er dog ikke kommet længere end den indledende analyse-fase, bemærker Frederik Helweg-Larsen

»Den 25. maj 2018 bliver for mange en milepæl for projektet og ikke en afslutning. Det er ikke realistisk, at man kan bevæge sig så meget på så kort tid.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (19)
Morten Sabroe Mortensen

Persondata skal skam slettes, når der ikke længere er et legitimt behov for at gemme dem - det er ikke begrænset til, at en kunde beder om det.

Persondataforordningen er jura. Hvordan at dette imødekommes i it-systemer og på bedste vis er et minefelt uden lige. I toppen og nærmest det juridiske er der arbejdsgange, som skal være ganske anderledes.

I bunden er der alt muligt sindrigt, lusket, nederdrægtigt, udfordrende lige fra om man faktisk sletter data eller "bare" sætter flueben ved om data er slettet - uden at data er fysisk slettet, hvilket vi naturligvist kommer til at se mange, mange eksempler på, fordi det er også normal, defensiv udvikler-mentalitet, desværre. Med henblik på opfyldelse af forordningen bør data slettes, ikke markeres specielt - det andet kommer til at give bagslag, naturligvist.

I forbindelse med backup af systemers data hersker også et større antal specielle situationer - tænk på at man tager backup af produktionen, sletter persondata, og efterfølgende får brug for at køre backup ind igen. Lever man så med at de slettede data kommer ind igen, eller er man nødt til at lave et system, hvor sletninger markeres i en handlings-journal, som placeres adskilt fra produktionens regulære data og som efter behov kan afvikles på en backup, som er anvendt i forbindelse med et nedbrud? Hvor længe gemmes backup-data, hvem har adgang til dem, er de fuldstændige eller partielle og inkrementielle ... Om lige netop en backup af data gælder, at det er en ekceptionel situation, at den anvendes. Men emnet anskueliggør flere niveauer af kompleksiteter.

Der mangler i den grad nogle overordnede holdninger til og vejledninger i, hvordan at man bedst muligt begår sig med det mest umiddelbare ud i teknik og data. Det er selvfølgelig arbejdsgangene i og omkring it-systemer, som skal adresseres - og vi skal væk fra at "VI gemmer bare alt, fordi så er VI sikre på at intet forsvinder, og VI kan altid bruge det, som VI har lyst til".

Hvor at det offentlige "bare kommer til" at kigge på tværs af noget, de ikke skulle have adgang til, at Skat og politi ikke altid kan holde deres sti ren, ... det er langt værre for de private virksomheder, der lever af personers gøre og laden, reklame-firmaer som nogle af de værste, uønskede parasitter. Når persondata bliver åbne og kontrollerede - tænk f.eks. på dine fitness tracker-data, som helt givet er bundet til én leverandør - kan trækkes ud og tilgås et andet sted og efter ejernes ønske og samtykke, så åbner der sig helt nye muligheder, også business-wise. Persondataforordningen er ikke kun restriktioner, det er også fri bevægelighed.

Povl Hansen

"legitimt behov"

Hvad er det ?
hvem bestemmer om et behov er legitimt

"bare" sætter flueben ved om data er slettet"
er det ikke sådan af fil systemet i Windows er opbygget, man sletter ikke data markerer bare af placeringen må bruges til nye data

også syntes jeg af der er helt fint, hvis politiet gemmer data som er opsamlet, hvis man skulle få brug for det senerer,

Anders Ganer

Det offentlige har i mange år skulle slette personoplysninger efter en vis periode. De konkrete krav fremgår af de enkelte myndigheders anmeldelser til Datatilsynet. Søg i "Fortegnelsen" hos datatilsynet.dk

Når oplysningerne så er slettet her, så er en stor del faktisk ikke slettet alligevel. De overgår blot til at blive håndteret efter en anden lov, Arkivloven. Det er også tilfældet fremover.

Og det med den enkelte persons ønske om at blive slettet, det gælder ikke i ret stort omfang for de offentlige systemer. Der er lovgivningsmæssige krav om, at oplysningerne om sagsbehandlingen gemmes i en vis periode. Det er det, der (også) beskrives i de nuværende anmeldelser til Datatilsynet.

I praksis vil udfordringen for ESDH-systemerne (og mange andre systemer, CRM m.m.) være større for private virksomheder end for offentlige.

Men det betyder ikke, at den offentlige sektor ikke har udfordringer med Dataforordningen. Slet ikke! Eksempelvis aner vi endnu ikke, hvad der skal ske med de omfattende logningskrav, der p.t. eksisterer for store dele af den offentlige administration. Men måske bliver disse krav også blot udrullet til den private sektor. Så bliver der for alvor udfordringer...

Gert Madsen

GDPR er jo skrevet af jurister uden interesse eller viden om, hvordan IT-systemer fungerer.


Sådan skal det da også være.
Selvfølgeligt skal data ikke gemmes, fordi nogen finder det besværligt at slette.
Som Anders Ganer skriver ovenfor, er der ikke noget nyt i den slags krav.
At det ikke for længst er implementeret i systemerne, siger nok mest om dem, som bestiller og leverer systemerne.

Jakob Dahl

Artiklen berører så vidt jeg kan se slet ikke problematikken med at en restore genindlæser data, som én gang er blevet slettet!

Damned if you do,damned if you don't. Det er spørgsmålet om hvor lang tid en backup må/ kan/skal være. Der skal slettes backups som er så gamle at de ligger over fristen for hvad der må gemmes, men man skal jo også have en backup til at håndtere fejl.

Offentlige er i en anden situation end private for de har arkiveringspligt så de må slet ikke slette.

Claus Juul

Jeg gætter på at der vil gælde de samme regler som idag.

Hvis data restores, skal det gennemgås, med henblik på at slette det data mellem tidspunktet fra backup blev taget til nu.

Backup data anses ikke som aktiv data man skal ikke slette data i backups, men skal selvfølgelig slettes hvis de data tages i brug (fx efter restore)

René Nielsen

også syntes jeg af der er helt fint, hvis politiet gemmer data som er opsamlet, hvis man skulle få brug for det senerer,


Hele pointen med at have en Forfatning/Grundlov er at begrænse statens magt overfor individet og samtidig tildele individet udvidede rettigheder ift. til både staten og det øvrige samfund.

Overtrædes disse Forfatnings-/Grundlovssikrede rettigheder af statens embedsmænd, hedder det højforræderi.

Så Grundlovens fædre har tænkt over sagen og taget stilling til det vås du skriver ovenfor.

Povl Hansen

"Den sletter det."
ja, men spørgsmålet var hvordan sletter den det
vælger den mulighed 1, 2 eller 3 ?

1 : Bliver dataene opdateret med info om at de nu er slettede
(altså ikke nogen sletning, men en opdatering af databasen)

2: Bliver pladsen på harddisken markeret som ledig
(altså ikke nogen sletning men data kan blive overskredet en gang i fremtiden)

3: Bliver harddisk pladsen overskrevet 117 gange
(Data bliver overskrevet flere gange og ligger derfor ikke mere urørt på harddisken))

Jakob Dahl

Hele pointen med at have en Forfatning/Grundlov er at begrænse statens magt overfor individet og samtidig tildele individet udvidede rettigheder ift. til både staten og det øvrige samfund.

Det kommer lidt an på hvor man er henne i verden. Det er helt klart formålet med USAs eller Australiens forfatning.
De europæiske forfatninger der opstod i kølvandet på den franske revolution har mere til formål at etablere statens, dvs. regeringens, voldsmonopol og sikre at monarki/adel/kirke ikke længere skulle have ret til autonomt at udskrive skatter og på anden måde at opføre sig som det passede dem. Men der er lagt mere vægt på kollektivet.

Mads Bendixen
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 10:31

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017