Fortegnelser

I modsætning til andre af Datatilsynets vejledninger "i denne serie" er fortegnelser betydeligt mere konkret og jordnært - vi taler faktisk næsten om regneark mellem fingrene fra linje 4!

Datatilsynet har udgivet en vejledning omkring fortegnelser[1] og tilsynet understreger at det er en intern forpligtelse, som din virksomhed kun ved anmodning vil skulle sende til Datatilsynet. Nok så vigtigt er det at notere sig, at hvis din virksomhed beskæftiger mindre end 250 personer, behandlingerne ikke sandsynligt medfører en høj risiko for den registreredes rettigheder, og er "lejlighedsvise"[2] og ikke omfatter følsomme personoplysninger, så skal der ikke føres en fortegnelse!

Filosofien bag

En fortegnelse og dens modpart - optegnelserne (opdager du hvad består i, nedenfor) - tager udgangspunkt i den filosofi, som også gennemsyrer kvalitetsstyringssystemer:

  1. Skriv hvad du har tænkt dig at gøre
  2. Gør det
  3. Vis at du har gjort det (dokumentér det)
  4. Lær af processen/Skab forbedringer

Det har klare paralleler til The Deming Cycle[3] og ikke uden grund. Det var Deming der underviste japanerne i kvalitetsstyring i 50'erne, og lagde dermed grunden til blandt andet Toyota Production System (der ikke som sådan er et kvalitetsstyringssystem), som europæerne/amerikanerne hentede hjem og kaldte det Total Quality Manufacturing.

SIPOC

En model, som har sine rødder i Bill Smith's proces forbedringsmodeller og teknikker tilbage i 80'erne og som er varemærkebeskyttet af Motorola i 1993 under navnet Six Sigma, kan lette arbejdet med at beskrive arbejdsgangen, de enkelte processer/behandlinger og data der bruges.

SIPOC modeller er forholdsvis enkle at fremstille. Her er de skridt du skal tage[4]:

  1. Ryd et whiteboard, klæb en rulle hvidt bordpapir op på væggen, eller klæb post-it's op på et bord. Lav 5 kolonner med bogstaverne (S-I-P-O-C) som overskrift over hver kolonne.
  2. Start med processen. Del den op i 4-5 skridt. Kræver det mere, vil der typisk være tale om flere processer - og så er det over på et 'skema' for sig selv med dem!
  3. Oprems udkommet/output fra processen. Det vil normalt være sidste step - eller et af de sidste - der 'spytter' output ud.
  4. Identificér modtagerne af 'output' fra processen.
  5. List de nødvendige input for at processen kan fungere ordentligt.
  6. Opregn leverandørerne af input.
  7. Valgfri: Identificér de foreløbige krav fra modtagerne af output. Det vil også blive bekræftet i senere faser i Six Sigma, så det er ikke nødvendigt her.
  8. Debatér med projektejere[5] for at få bekræftet/verificeret modellen.

Hvordan samles en fortegnelse?

En fortegnelse over behandlinger vil hyppigst blive afdækket i forbindelse med et BPR[6], LEAN, eller andet forretningsudviklings projekt - og kan derfor 'hives' direkte ud af et sådan. Det er ikke et krav, at gennemføre den slags projekter først! Langt mindre ambitiøst kan snildt gøre det - fx et regneark med 12 kolonner, og et enkelt øje på (huskesedlen):

  1. Identificér de arbejdsgange hvor personoplysninger kan blive behandlet
  2. Oprems de datapunkter[7] der kan blive behandlet
  3. Beskriv hver isoleret behandling[8] i hver arbejdsgang
  4. Formulér formålet med hver isoleret behandling[9] - hvorefter den isolerede behandling fremstår som en selvstændig proces
  5. Tildel hver af disse processer 1-5 'dødningehoveder'[10] afhængig af hvor kritisk et brud på datasikkerheden vil være
  6. Identificér de kategorier af personer, der registreres for hver proces[11]
  7. Oprems de modtagere af oplysninger, der findes ved hver proces[12]
  8. Beskriv hvordan hver (kategori) af modtagere kommer i besiddelse af oplysningerne, og hvilke oplysninger, de kommer i besiddelse af[13]
  9. Beskriv hvordan hvert datapunkt[14] fastholdes[15]
  10. Tilføj hvorlænge hvert datapunkt er nødvendig at fastholde[16]
  11. Angiv til slut hvordan hvert datapunkt bortskaffes[17]
  12. Uden om hver proces bør du sætte et pigtrådshegn og beskrive hvordan data er sikret på vej ind i processen, i processen, og på vejen ud af processen[18]

Et alternativ er at 'tegne' forløbet, som i eksemplet herunder:

Og hva' så?

Ja - nu har du så fortegnelsen over hver enkelt stående behandling. Nu kan du så starte med de processer, der har flest dødningehoveder!

Stil dig selv følgende spørgsmål

  • overvejer jeg om de personoplysninger, jeg modtager, overhovedet er nødvendige for den aktuelle behandling? Og er den aktuelle behandling i sig selv overhovedet nødvendig? Hvordan dokumenterer jeg det? Hvad gør jeg hvis det ikke er tilfældet (længere)?
  • hvad gør jeg for at sikre mig at de personoplysninger, jeg modtager (i den her proces) er rigtige, de rigtige, og lige præcis tilstrækkelige (og ikke mere)? Hvordan dokumenterer jeg at det er tilfældet? Hvad gør jeg hvis det ikke er tilfældet?
  • hvordan kan jeg være sikker på at ingen uberettiget har fået adgang til de personoplysninger, som jeg modtager? Hvordan dokumenterer jeg det? Hvad gør jeg hvis det sker alligevel?
  • hvordan sikrer jeg mig at den, hvis oplysninger jeg behandler, er blevet oplyst enkelt, forståeligt, og lettilgængeligt, om hens rettigheder, formålet med indsamlingen og behandlingen af personoplysninger, varigheden af opbevaringen, mm? Hvordan dokumenterer jeg det? Hvad gør jeg hvis det ikke sker?
  • hvordan undgår jeg at ikke-berettigede får adgang til personoplysninger i processen? Kan jeg dokumentere det? Hvad gør jeg hvis det, imod forventning, sker alligevel?
  • hvad gør jeg for at sikre mig at jeg behandler personoplysningerne fair og rimeligt (overfor den registrerede), og at jeg kun behandler oplysningerne med det oplyste formål
  • hvis den, hvis oplysninger jeg behandler, henvender sig, hvordan kan jeg da opfylde hens rettigheder[19]? Hvordan dokumenterer jeg det? Skal jeg forlange penge for at opfylde rettighederne ved gentagne henvendelser? Hvormange? Hvordan? Hvad gør jeg hvis det ikke lykkes mig?
  • hvad gør jeg for at sikre mig mod at personoplysningerne bliver overført til lande udenfor forordningens rækkevidde[20], eller at hvis det sker, i givet fald med den nødvendige beskyttelse? Hvordan dokumenterer jeg det? Og hvad gøre jeg, hvis det alligevel sker?
  • hvad gør jeg for at sikre mig mod at ikke-berettigede får adgang til personoplysningerne, når jeg videregiver dem? Hvordan dokumenterer jeg det? Kan jeg dokumentere hvem jeg har videregivet dem til? Hvad gør jeg hvis det alligevel sker?
  • hvordan skal jeg skaffe mig af med personoplysningerne? Hvorlænge efter at jeg har behandlet dem? Hvordan dokumenterer jeg det? Hvordan sørger jeg for at give den, hvis oplysninger jeg smider væk, besked? Hvad gør jeg hvis jeg ikke får dem fjernet, eller ikke får givet besked?
  • hvis jeg eller andre får mistanke om at der er sket et sikkerhedsbrud, hvad gør jeg så?
  • er der kun 'mig' eller skal jeg have trænet andre (medarbejdere) i at kunne svare tilfredsstillende på de her spørgsmål? Hvordan dokumenterer jeg det? Hvad gør jeg, hvis jeg ikke får trænet dem (godt nok)?

Du opdagede sikkert hurtigt at der er en slags 'skabelon' bag alle spørgsmålene:

  1. hvilke roller kan den registrerede spille ift processen
  2. hvordan er data sikret/valideret?
  3. hvordan dokumenteres det?
  4. hvad er proceduren ved undtagelsesstyring

Den egentlige opfortegnelse

Udrustet med al det skyts der er brug for, kan du nu sætte processen (og alle de processer, den er knyttet til) i gang. Svarene på dine spørgsmål afgør hvor mange stykker papir og hvor tykke notesbøger, du kommer til at gemme på (det kan også være at du laver dine optegnelser elektronisk)! Måske tilbyder din tjenesteudbyder at foretage registreringerne i din optegnelse hel/halv automatisk i den app/det system, du bruger til selve behandlingen?

Den enkelte behandling bør med en velforberedt model kunne beskrives med en slags status betegnelse, fx

  • ordene "oplysninger indhentet", en reference til fx en liste over de personoplysninger, som modellen afslører at processen kræver[21]
  • ordet "gennemført", en reference til modellen (som eksempelvis ovenfor), og et tidspunkt for starten og evt afslutningen af behandlingen.
  • et "henvendelse" hvis den registrerede retter henvendelse, en reference til den registrerede, henvendelsens natur (hvilken af den registreredes rettigheder påberåber den registrerede sig) og et tidspunkt.
  • et "oplysninger udleveret", som vil være den naturlige næste registrering, en reference til modellen og de trufne valg/svar på spgm ovenfor (fx realiseret ved en liste over de oplysninger/kategorier af oplysninger som skal udleveres ved registreredes henvendelser) - læs om retten her
  • et "oplysninger berigtiget" hvis den registrerede har påberåbt sig denne rettighed ved henvendelsen
  • ordene "behandling begæret standset", hvis den registrerede har påberåbt sig denne rettighed, tidspunktet for standsning, og eventuelt hvilke yderligere skridt der vil blive taget samt den registreredes oplysning herom og accept af at have modtaget disse yderligere oplysninger
  • et "behandling fordret begrænset" hvis den registrerede har påberåbt sig denne rettighed ved henvendelsen
  • et "gennemsigtighed afklaret" hvis den registrerede har ønsket at få processer og datastrømme forklaret
  • et "indsigt imødekommet", hvis den registrerede har ønsket det, sammen med et tidspunkt, og en oversigt over hvilke oplysninger den registrerede har modtaget
  • ordene "data transporteret", hvis den registrerede har ønsket dette, hvem de er transporteret til, tidspunktet, samt hvilket format det er sket på
  • ordene "profilering fravalgt", hvis den registrerede har ønsket dette, samt tidspunktet for fravalget
  • ordet "slettet" om den situation, hvor personoplysningerne skal fjernes (eller den registrerede har krævet dette ved henvendelse), et tidsstempel samt en reference til den sletningsproces, der er valgt for de indsamlede oplysninger til processen

  1. betegnelsen for de interne registreringer, som dataansvarlige og databehandlere forventes at foretage i forhold til hvilke behandlinger af personoplysninger, de igangsætter/gennemgfører ↩︎

  2. det er desværre ikke et spørgsmål om hvorvidt det sker hver uge, hver måned eller hvert kvartal ↩︎

  3. W. Edwards Deming Institute udbredte Plan-Do-Check-Act eller Plan-Do-Study-Act som også har inspireret systemer som SixSigma, Continous Integration, Agile Programming, mfl; Mr Deming omtalte altid selv modellen som the Shewhart-Cycle efter Walther A. Shewhart som efter den videnskabelige metode udviklet af Francis Bacon i 1620, beskrev statistisk kontrolleret produktion som "specifikation-produktion-inspektion" ↩︎

  4. så er der lidt forskellige tanker om, hvorvidt du skal skrive alle processerne i en arbejdsgang op, eller fokusere på en enkelt proces ↩︎

  5. i Six Sigma omtales de som project sponsor, Champion og andre stakeholders ↩︎

  6. Business Process Reengineering ↩︎

  7. opdel gerne datapunkterne i såkaldt almindelige personoplysninger og følsomme personoplysninger ↩︎

  8. fx: data læses i avisen, skrives på en serviet, gemmes i overlommen, sendes med brevdue til Rupert Murdoch ↩︎

  9. fx: afsløre medarbejderes brug af Facebook i arbejdstiden ↩︎

  10. smileys eller kaninhoveder eller noget helt tredje kan sagtens fungere også! Det vigtige er at identificere de arbejdsgange, hvor følsomme personoplysninger bliver behandlet, og overordnet set de arbejdsgange, hvor brud på datasikkerheden kan have skadevirkninger på fysiske personer ↩︎

  11. fx: medarbejdere, kunder, islamister, fædre, teenagere, osv. ↩︎

  12. fx: banken, oversøiske leverandører, salgsafdelingen, bogholderen, mfl. ↩︎

  13. fx: email(cpr-nr,køn,sko-størrelse), brev-pdf(cpr-nr,øjenfarve,hjerterytme), osv. ↩︎

  14. eller klynger af datapunkter ↩︎

  15. persisteres eller arkiveres eller huskes. Fx: gemmes på PostIt i køkkenbordsskuffe #2, står på tavlen i kantinen, gemmes på SQL-Server laban.firma.dk i tabellen skurke, osv. ↩︎

  16. fx: iht årsregnskabsloven, sålænge kunden er aktiv hos os + 8 dage, osv. ↩︎

  17. fx: slettes af piccoli, returneres af salgsansvarlig, osv ↩︎

  18. fx: ind(ingen beskyttelse), imens(OpenSSL RCA-256 krypteret i SQL tabel), ud(krypteret og sendes til e-boks) ↩︎

  19. indsigt,begrænsning,sletning,fuldstændiggørelse,portabilitet,mfl ↩︎

  20. forordningen er en EU lov, og gælder som sådan i EU. Der er enkelte lande, som EU har udpeget som værende i besiddelse af et tilstrækkeligt højt beredskab til, at personoplysninger gerne må overføres dertil ↩︎

  21. der bør også være plads til et afvigende "oplysninger indhentet, men unormalt" - så de situationer, hvor data bliver opsamlet, men omstændighederne medfører at det ikke er de datapunkter, modellen forventer, der bliver indsamlet, også kan beskrives ved en status; en vigtig oplysning senere, når alle spørger: hvorfor vidste vi ikke det? Så kan vi svare: Fordi vi ikke fik det at vide til at begynde med!! ↩︎